Windows安全性基準
本文詳細說明適用於下列實作的 Windows 客體組態設定:
- [預覽]:Windows 機器應符合 Azure 計算安全性基準 Azure 原則 客體設定定義的需求
- 應該在 Azure 資訊安全中心 中補救機器上安全性設定的弱點
如需詳細資訊,請參閱 Azure Automanage 機器組態。
重要
Azure 原則 客體設定僅適用於 Windows Server SKU 和 Azure Stack SKU。 它不適用於用戶計算,例如 Windows 10 和 Windows 11 SKU。
帳戶原則-密碼原則
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
帳戶鎖定持續時間 (AZ-WIN-73312) |
描述:此原則設定會決定鎖定帳戶解除鎖定之前必須經過的時間長度,而且使用者可以嘗試再次登入。 此設定會藉由指定鎖定帳戶仍無法使用的分鐘數來執行此作業。 如果此原則設定的值設定為 0,則鎖定的帳戶會保持鎖定狀態,直到系統管理員手動解除鎖定為止。 雖然將此原則設定的值設定為高值似乎是個好主意,但這類設定可能會增加技術支持人員收到的通話數目,以解除鎖定錯誤鎖定的帳戶。 用戶應該知道鎖定保留的時間長度,因此他們意識到,他們只需要撥打技術支援中心,如果他們有極其緊迫的需要重新取得其計算機的存取權。 此設定的建議狀態為: 15 or more minute(s) 。 注意:密碼原則設定(第1.1節)和帳戶鎖定原則設定(第1.2節)必須透過預設網域原則 GPO 套用,才能全域生效網域用戶帳戶作為其預設行為。 如果這些設定是在另一個 GPO 中設定,它們只會影響 接收 GPO 之電腦上的本機 用戶帳戶。 不過,特定網域使用者和/或群組的默認密碼原則和帳戶鎖定原則規則的自定義例外狀況可以使用密碼設定物件(PSO)來定義,這些物件與組策略完全分開,而且最容易使用 Active Directory 管理中心進行設定。密鑰路徑:[系統存取]LockoutDuration OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\帳戶原則\帳戶鎖定原則\帳戶鎖定持續時間 合規性標準對應: 名稱平台識別碼 CIS WS2022 1.2.1 CIS WS2019 1.2.1 |
>= 15 (原則) |
警告 |
系統管理範本 - Window Defender
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
設定潛在垃圾應用程式的偵測 (AZ-WIN-202219) |
描述:此原則設定可控制潛在垃圾應用程式 (PUA) 的偵測和動作,這些應用程式是偷用的垃圾應用程式套件組合或其配套應用程式,可提供廣告軟體或惡意代碼。 此設定的建議狀態為: Enabled: Block 。 如需詳細資訊,請參閱此連結:使用 Microsoft Defender 防毒軟體 封鎖潛在的垃圾應用程式 |Microsoft Docs密鑰路徑:SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\Microsoft Defender 防毒軟體\設定潛在垃圾應用程式的偵測 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15 |
= 1 (登錄) |
重大 |
掃描所有下載的檔案和附件 (AZ-WIN-202221) |
描述:此原則設定會設定掃描所有下載的檔案和附件。 此設定的建議狀態為: Enabled 。密鑰路徑:Software\Policies\Microsoft\Windows Defender\實時保護\DisableIOAVProtection OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\Microsoft Defender 防毒軟體\實時保護\掃描所有下載的檔案和附件 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1 |
= 0 (登錄) |
警告 |
關閉 Microsoft Defender 防病毒軟體 (AZ-WIN-202220) |
描述:此原則設定會關閉 Microsoft Defender 防毒軟體。 如果設定為 [已停用],Microsoft Defender 防毒軟體 執行並掃描計算機是否有惡意代碼和其他潛在的垃圾軟體。 此設定的建議狀態為: Disabled 。密鑰路徑:Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\Microsoft Defender 防毒軟體\關閉 Microsoft Defender 防病毒軟體 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16 |
= 0 (登錄) |
重大 |
關閉即時保護 (AZ-WIN-202222) |
描述:此原則設定會設定已知惡意代碼偵測的即時保護提示。 Microsoft Defender 防毒軟體 惡意代碼或潛在垃圾軟體嘗試自行安裝或在計算機上執行時發出警示。 此設定的建議狀態為: Disabled 。索引鍵路徑:Software\Policies\Microsoft\Windows Defender\實時保護\DisableRealtimeMonitoring OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\Microsoft Defender 防毒軟體\實時保護\關閉實時保護 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2 |
= 0 (登錄) |
警告 |
開啟電子郵件掃描 (AZ-WIN-202218) |
描述:此原則設定可讓您設定電子郵件掃描。 啟用電子郵件掃描時,引擎會根據其特定格式剖析信箱和郵件檔案,以分析郵件本文和附件。 目前支持數種電子郵件格式,例如:pst (Outlook)、dbx、mbx、mime (Outlook Express)、binhex (Mac)。 此設定的建議狀態為: Enabled 。密鑰路徑:SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\Microsoft Defender 防毒軟體\Scan\開啟電子郵件掃描 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2 |
= 0 (登錄) |
警告 |
開啟文本掃描 (AZ-WIN-202223) |
描述:此原則設定允許開啟/關閉腳本掃描。 腳本掃描會攔截腳本,然後在系統上執行之前先掃描它們。 此設定的建議狀態為: Enabled 。索引鍵路徑:Software\Policies\Microsoft\Windows Defender\實時保護\DisableScriptScanning OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\Microsoft Defender 防毒軟體\實時保護\開啟腳本掃描 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4 |
= 0 (登錄) |
警告 |
系統管理範本 - 控制台
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
允許輸入個人化 (AZ-WIN-00168) |
描述:此原則會啟用輸入個人化的自動學習元件,包括語音、筆跡和輸入。 自動學習可讓您收集語音和手寫模式、輸入歷程記錄、聯繫人和最近的行事曆資訊。 這是使用 Cortana 的必要專案。 部分收集的資訊可能會儲存在使用者的 OneDrive 上,以防筆跡和輸入;部分資訊會上傳至Microsoft,以個人化語音。 此設定的建議狀態為: Disabled 。索引鍵路徑:SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\控制台\地區和語言選項\允許使用者啟用在線語音辨識服務注意:此組策略路徑預設可能不存在。 它是由組策略範本 Globalization.admx/adml 所提供,隨附於 Microsoft Windows 10 RTM(版本 1507) 系統管理範本(或更新版本)。 附註 #2:在舊版Microsoft Windows 系統管理範本中,此設定最初命名為 [允許輸入個人化],但已重新命名為 [允許使用者啟用從 Windows 10 R1809 和 Server 2019 系統管理範本開始的在線語音識別服務]。合規性標準對應: 名稱平台識別碼 CIS WS2019 18.1.2.2 |
= 0 (登錄) |
警告 |
系統管理範本 - MS 安全性指南
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
停用 SMB v1 用戶端(移除 LanmanWorkstation 的相依性) (AZ-WIN-00122) |
描述:SMBv1 是舊版通訊協定,會使用 MD5 演演算法作為 SMB 的一部分。 已知 MD5 容易受到許多攻擊,例如碰撞和預先映像攻擊,以及不符合 FIPS 規範。 索引鍵路徑:SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService OS:WS2008、WS2008R2、WS2012 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\系統管理範本\MS 安全性指南\設定SMBv1用戶端驅動程式 合規性標準對應: |
不存在或 = Bowser\0MRxSmb20\0NSI\0\0 (登錄) |
重大 |
WDigest 驗證 (AZ-WIN-73497) |
描述:啟用 WDigest 驗證時,Lsass.exe會在記憶體中保留使用者的純文字密碼複本,其中可能會有竊取風險。 如果未設定此設定,則會在 Windows 8.1 和 Windows Server 2012 R2 中停用 WDigest 驗證;預設會在舊版 Windows 和 Windows Server 中啟用它。 如需本機帳戶和認證竊取的詳細資訊,請檢閱「減輕傳遞哈希(PtH) 攻擊和其他認證竊取技術」檔。 如需 的詳細資訊 UseLogonCredential ,請參閱 Microsoft 知識庫文章 2871997: Microsoft Security Advisory Update 以改善認證保護和管理 2014 年 5 月 13 日。 此設定的建議狀態為: Disabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential OS:WS2016、WS2019 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\系統管理範本\MS 安全性指南\WDigest 驗證(停用可能需要KB2871997) 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.3.7 CIS WS2019 18.3.7 |
= 0 (登錄) |
重要 |
系統管理範本 - MSS
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
MSS: (DisableIPSourceRouting IPv6) IP 來源路由保護等級 (防止封包詐騙) (AZ-WIN-202213) |
描述:IP 來源路由是一種機制,可讓傳送者判斷數據報應遵循網路的IP路由。 此設定的建議狀態為: Enabled: Highest protection, source routing is completely disabled 。索引鍵路徑:System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\MSS(舊版)\MSS: (DisableIPSourceRouting IPv6) IP 來源路由保護層級 (防止封包詐騙) 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.4.2 CIS WS2019 18.4.2 |
= 2 (登錄) |
資訊 |
MSS: (DisableIPSourceRouting) IP 來源路由保護等級 (防止封包詐騙) (AZ-WIN-202244) |
描述:IP 來源路由是一種機制,可讓傳送者判斷數據報應該通過網路的IP路由。 建議將此設定設定設定為 [企業環境未定義] 和 [高安全性環境的最高保護] 以完全停用來源路由。 此設定的建議狀態為: Enabled: Highest protection, source routing is completely disabled 。索引鍵路徑:System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\MSS(舊版)\MSS: (DisableIPSourceRouting) IP 來源路由保護層級 (防止封包詐騙) 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.4.3 CIS WS2019 18.4.3 |
= 2 (登錄) |
資訊 |
MSS: (NoNameReleaseOnDemand) 允許電腦忽略除了 WINS 伺服器以外的 NetBIOS 名稱發行要求 (AZ-WIN-202214) |
描述:透過 TCP/IP 的 NetBIOS 是一種網路通訊協定,其中還有其他方法可讓您輕鬆地將 Windows 系統上註冊的 NetBIOS 名稱解析為在這些系統上設定的 IP 位址。 此設定會決定計算機是否在收到名稱發行要求時釋放其 NetBIOS 名稱。 此設定的建議狀態為: Enabled 。機碼路徑:System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\MSS(舊版)\MSS: (NoNameReleaseOnDemand) 允許計算機忽略 NetBIOS 名稱版本要求,但 WINS 伺服器除外 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.4.6 CIS WS2019 18.4.6 |
= 1 (登錄) |
資訊 |
MSS: (SafeDllSearchMode) 啟用安全 DLL 搜尋模式 (建議) (AZ-WIN-202215) |
描述:D LL 搜尋順序可以設定為搜尋執行進程所要求之 DLL 的兩種方式之一: - 先搜尋系統路徑中指定的資料夾,然後搜尋目前的工作資料夾。 - 先搜尋目前的工作資料夾,然後搜尋系統路徑中指定的資料夾。 啟用時,登錄值會設定為 1。 設定為 1 時,系統會先搜尋系統路徑中指定的資料夾,然後搜尋目前的工作資料夾。 停用時,登錄值會設定為 0,系統會先搜尋目前的工作資料夾,然後搜尋系統路徑中指定的資料夾。 系統會先強制應用程式搜尋系統路徑中的 DLL。 對於需要應用程式隨附之這些 DLL 之唯一版本的應用程式,此專案可能會導致效能或穩定性問題。 此設定的建議狀態為: Enabled 。 注意: 此連結提供安全 DLL 搜尋模式運作方式的詳細資訊: 動態連結庫搜尋順序 - Windows 應用程式 |Microsoft Docs索引鍵路徑:SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\MSS(舊版)\MSS: (SafeDllSearchMode) 啟用安全 DLL 搜尋模式(建議) 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.4.8 CIS WS2019 18.4.8 |
= 1 (登錄) |
警告 |
MSS: (WarningLevel) 安全性事件記錄檔的百分比閾值,系統將產生警告 (AZ-WIN-202212) |
描述:當記錄達到使用者定義的閾值時,此設定可以在安全性事件記錄檔中產生安全性稽核。 此設定的建議狀態為: Enabled: 90% or less 。 注意: 如果記錄設定為視需要覆寫事件,或覆寫超過 x 天的事件,將不會產生此事件。索引鍵路徑:SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\MSS(舊版)\MSS: (WarningLevel) 安全性事件記錄檔的百分比閾值,系統將產生警告 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.4.12 CIS WS2019 18.4.12 |
<= 90 (登錄) |
資訊 |
Windows Server 必須設定為防止因特網控制訊息通訊協定 (ICMP) 重新導向覆寫開啟最短路徑 First (OSPF) 產生的路由。 (AZ-WIN-73503) |
描述:因特網控制訊息通訊協定 (ICMP) 重新導向會導致 IPv4 堆棧有管線主機路由。 這些路由會覆寫開啟最短路徑 First (OSPF) 產生的路由。 此設定的建議狀態為: Disabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\系統管理範本\MSS(舊版)\MSS: (EnableICMPRedirect) 允許 ICMP 重新導向覆寫 OSPF 產生的路由 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.4.4 CIS WS2019 18.4.4 |
= 0 (登錄) |
資訊 |
系統管理範本 - 網路
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
啟用不安全的訪客登入 (AZ-WIN-00171) |
描述:此原則設定會決定SMB用戶端是否允許不安全的來賓登入SMB伺服器。 此設定的建議狀態為: Disabled 。密鑰路徑:SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth OS:WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本 etwork\Lanman Workstation\Enable insecure guest logons 注意: 此組策略路徑預設可能不存在。 組策略範本 'LanmanWorkstation.admx/adml' 隨附於 Microsoft Windows 10 版本 1511 系統管理範本(或更新版本)。 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1 |
= 0 (登錄) |
重大 |
強化的 UNC 路徑 - NETLOGON (AZ_WIN_202250) |
描述:此原則設定會設定 UNC 路徑的安全存取 密鑰路徑:SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\NETLOGON OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\系統管理範本\網路\網路提供者\強化 UNC 路徑 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1,RequireIntegrity=1 (登錄) |
警告 |
強化的 UNC 路徑 - SYSVOL (AZ_WIN_202251) |
描述:此原則設定會設定 UNC 路徑的安全存取 密鑰路徑:SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\SYSVOL OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\系統管理範本\網路\網路提供者\強化 UNC 路徑 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1,RequireIntegrity=1 (登錄) |
警告 |
將同時連線到因特網或 Windows 網域的數目降到最低 (CCE-38338-0) |
描述:此原則設定可防止計算機同時連線到網域型網路和非網域型網路。 此設定的建議狀態為: Enabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled: 3 = Prevent Wi-Fi when on Ethernet :計算機設定\原則\系統管理範本 etwork\Windows 連線管理員\最小化同時連線到因特網或 Windows 網域的數目 注意: 此組策略路徑預設可能不存在。 組策略範本 'WCM.admx/adml' 隨附於 Microsoft Windows 8.0 和 Server 2012 (非 R2) 系統管理範本。 它已更新為從 Windows 10 版本 1903 系統管理範本開始的新 最小化原則選項 子設定。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.5.21.1 |
不存在或 = 1 (登錄) |
警告 |
禁止在您的 DNS 網域網路上安裝及設定網路網橋 (CCE-38002-2) |
描述:您可以使用此程式來控制使用者安裝和設定網路網橋的能力。 此設定的建議狀態為: Enabled 。索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\網络\網络連線\禁止在您的 DNS 網域網路上安裝和設定網路網橋 注意: 此組策略路徑是由所有 Microsoft windows 系統管理範本版本隨附的組策略範本 NetworkConnections.admx/adml 所提供。合規性標準對應: 名稱平台識別碼 CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2 |
= 0 (登錄) |
警告 |
禁止在您的 DNS 網域網路上使用因特網連線共用 (AZ-WIN-00172) |
描述:雖然此「舊版」設定傳統上套用至 Windows 2000、Windows XP 和 Server 2003 中的因特網聯機共用(ICS)使用,但此設定現在已全新套用至 Windows 10 和 Server 2016 的行動熱點功能。 此設定的建議狀態為: Enabled 。索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本 etwork etwork Connections\禁止在您的 DNS 網域網路上使用因特網聯機共用 注意: 此組策略路徑是由組策略範本 'NetworkConnections.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.5.11.3 |
= 0 (登錄) |
警告 |
關閉多播名稱解析 (AZ-WIN-00145) |
描述:LLMNR 是次要名稱解析通訊協定。 使用 LLMNR 時,查詢會使用透過單一子網上的局域網路鏈接進行多播,從用戶端電腦傳送至相同子網上也啟用 LLMNR 的另一部用戶端電腦。 LLMNR 不需要 DNS 伺服器或 DNS 用戶端設定,而且無法在傳統 DNS 名稱解析的情況下提供名稱解析。 此設定的建議狀態為: Enabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast OS:WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本 etwork\DNS 用戶端\關閉多播名稱解析 注意: 此組策略路徑預設可能不存在。 組策略範本 'DnsClient.admx/adml' 隨附於 Microsoft windows 8.0 和 Server 2012 (非 R2) 系統管理範本(或更新版本)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.5.4.2 |
= 0 (登錄) |
警告 |
系統管理範本 - 安全性指南
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
開啟結構化例外狀況處理覆寫保護 (SEHOP) (AZ-WIN-202210) |
描述:Windows 包含結構化例外狀況處理覆寫保護 (SEHOP) 的支援。 建議您啟用此功能,以改善計算機的安全性配置檔。 此設定的建議狀態為: Enabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\MS 安全性指南\啟用結構化例外狀況處理覆寫保護 (SEHOP) 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.3.4 CIS WS2019 18.3.4 |
= 0 (登錄) |
重大 |
NetBT NodeType 組態 (AZ-WIN-202211) |
描述:此設定會決定 NetBIOS over TCP/IP (NetBT) 用來註冊和解析名稱的方法。 可用的方法是: - B 節點 (broadcast) 方法只會使用廣播。 - P 節點(點對點)方法只會使用名稱伺服器的名稱查詢(WINS)。 - M 節點 (混合) 方法會先廣播,然後在廣播失敗時查詢名稱伺服器 (WINS)。 - H-node (hybrid) 方法會先查詢名稱伺服器 (WINS),然後在查詢失敗時廣播。 此設定的建議狀態為: Enabled: P-node (recommended) (點對點)。 注意: 透過 LMHOSTS 或 DNS 的解析會遵循這些方法。 NodeType 如果登錄值存在,則會覆寫任何DhcpNodeType 登錄值。 如果兩者 NodeType 都不存在, DhcpNodeType 如果網路沒有設定WINS伺服器,則計算機會使用 B 節點(廣播),如果至少有一部 WINS 伺服器已設定,則電腦會使用 H 節點(混合式)。索引鍵路徑:SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\MS 安全性指南\NetBT NodeType 設定 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.3.6 CIS WS2019 18.3.6 |
= 2 (登錄) |
警告 |
系統管理範本 - 系統
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
禁止使用者在登入時顯示帳戶詳細數據 (AZ-WIN-00138) |
描述:此原則可防止使用者在登入畫面上顯示帳戶詳細數據(電子郵件地址或使用者名稱)。 如果您啟用此原則設定,使用者就無法選擇在登入畫面上顯示帳戶詳細數據。 如果停用或未設定此原則設定,用戶可以選擇在登入畫面上顯示帳戶詳細數據。 機碼路徑:Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\系統\登入\封鎖用戶顯示登入帳戶詳細數據 注意: 此組策略路徑預設可能不存在。 組策略範本 'Logon.admx/adml' 隨附於 Microsoft Windows 10 版本 1607 和 Server 2016 系統管理範本(或更新版本)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.28.1 |
= 1 (登錄) |
警告 |
開機啟動驅動程式初始化原則 (CCE-37912-3) |
描述:此原則設定可讓您根據早期啟動反惡意代碼開機驅動程式所決定的分類來指定初始化的開機啟動驅動程式。 「早期啟動反惡意代碼開機啟動」驅動程式可以傳回每個開機啟動驅動程式的下列分類: - 良好:驅動程式已簽署,且未遭到竄改。 - 不正確:驅動程式已識別為惡意代碼。 建議您不允許初始化已知的不良驅動程式。 - 開機錯誤,但需要開機:驅動程式已識別為惡意代碼,但計算機無法成功開機,而無法載入此驅動程式。 - 未知:此驅動程式尚未由惡意代碼偵測應用程式證明,且尚未由「早期啟動反惡意代碼」開機驅動程序分類。 如果啟用此原則設定,您將能夠選擇下次啟動電腦時要初始化的開機啟動驅動程式。 如果停用或未設定此原則設定,則開機啟動驅動程式會判斷為良好、未知或不良,但開機關鍵已初始化,並略過判定為 「錯誤的」驅動程式初始化。 如果您的惡意代碼偵測應用程式未包含「早期啟動反惡意代碼」開機啟動驅動程式,或已停用「早期啟動反惡意代碼開機」驅動程式,則此設定沒有任何作用,且所有開機啟動驅動程式都會初始化。 索引鍵路徑:SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled: Good, unknown and bad but critical :計算機設定\原則\系統管理範本\系統\早期啟動 Antimalware\Boot-Start 驅動程式初始化原則 注意: 此組策略路徑預設可能不存在。 組策略範本 'EarlyLaunchAM.admx/adml' 隨附於 Microsoft Windows 8.0 和 Server 2012 (非 R2) 系統管理範本(或更新版本)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.14.1 |
不存在或 = 3 (登錄) |
警告 |
設定供應項目遠端協助 (CCE-36388-7) |
描述:此原則設定可讓您開啟或關閉此電腦上的 [供應專案] [未請求] 遠端協助。 技術支援人員和支持人員將無法主動提供協助,不過他們仍然可以回應用戶協助要求。 此設定的建議狀態為: Disabled 。索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\系統\遠端協助\設定供應專案遠端協助 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 RemoteAssistance.admx/adml 提供,隨附於 Microsoft Windows 8.0 和 Server 2012 (非 R2) 系統管理範本(或更新版本)。合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1 |
不存在或 = 0 (登錄) |
警告 |
設定請求遠端協助 (CCE-37281-3) |
描述:此原則設定可讓您開啟或關閉此電腦上的 [要求] 遠端協助。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\系統\遠端協助\設定請求遠端協助 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 RemoteAssistance.admx/adml 提供,隨附於 Microsoft Windows 8.0 和 Server 2012 (非 R2) 系統管理範本(或更新版本)。合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2 |
= 0 (登錄) |
重大 |
不要顯示網路選取UI (CCE-38353-9) |
描述:此原則設定可讓您控制是否任何人都可以在登入畫面上與可用的網路 UI 互動。 如果您啟用此原則設定,則不需要登入 Windows,就無法變更電腦的網路連線狀態。 如果您停用或未設定此原則設定,則任何使用者都可以中斷計算機與網路連線,或將計算機連線到其他可用的網路,而不需要登入 Windows。 索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\系統\登入\不要顯示網络選取 UI 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 'Logon.admx/adml' 所提供,隨附於 Microsoft Windows 8.1 和 Server 2012 R2 系統管理範本(或更新版本)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.28.2 |
= 1 (登錄) |
警告 |
不列舉已加入網域電腦上的連線使用者 (AZ-WIN-202216) |
描述:此原則設定可防止已連線的使用者在已加入網域的計算機上列舉。 此設定的建議狀態為: Enabled 。機碼路徑:Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\系統\登入\不要列舉已加入網域計算機上的連線使用者 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3 |
= 1 (登錄) |
警告 |
啟用 RPC 端點對應程式客戶端驗證 (CCE-37346-4) |
描述:此原則設定可控制 RPC 用戶端在進行呼叫時是否向端點對應程式服務進行驗證,包含驗證資訊。 執行 Windows NT4 的電腦上端點對應程式服務(所有 Service Pack)無法處理以這種方式提供的驗證資訊。 如果停用此原則設定,RPC 用戶端將不會向端點對應程式服務進行驗證,但能夠與 Windows NT4 Server 上的端點對應程式服務通訊。 如果啟用此原則設定,RPC 用戶端會針對包含驗證資訊的呼叫向端點對應程式服務進行驗證。 進行這類呼叫的用戶端將無法與 Windows NT4 伺服器端點對應程式服務通訊。 如果您未設定此原則設定,則會保持停用狀態。 RPC 用戶端不會向端點對應程式服務進行驗證,但能夠與 Windows NT4 伺服器端點對應程式服務通訊。 注意:在系統重新啟動之前,將不會套用此原則。 密鑰路徑:SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\系統\遠端過程調用\啟用 RPC 端點對應程式客戶端驗證 注意: 此組策略路徑預設可能不存在。 組策略範本 'RPC.admx/adml' 隨附於 Microsoft Windows 8.0 和 Server 2012 (非 R2) 系統管理範本(或更新版本)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.37.1 |
= 1 (登錄) |
重大 |
啟用 Windows NTP 用戶端 (CCE-37843-0) |
描述:此原則設定會指定是否啟用 Windows NTP 用戶端。 啟用 Windows NTP 用戶端可讓電腦與其他 NTP 伺服器同步處理其電腦時鐘。 如果您決定使用第三方時間提供者,您可能會想要停用此服務。 此設定的建議狀態為: Enabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\系統\Windows 時間服務\時間提供者\啟用 Windows NTP 用戶端 注意: 此組策略路徑是由組策略範本 'W32Time.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.53.1.1 |
= 1 (登錄) |
重大 |
CredSSP 通訊協定的加密 Oracle 補救 (AZ-WIN-201910) |
描述:某些應用程式所使用的 CredSSP 通訊協定版本(例如遠端桌面連線)容易受到對用戶端的加密 Oracle 攻擊。 此原則可控制與易受攻擊客戶端和伺服器的相容性,並可讓您設定加密 Oracle 弱點所需的保護層級。 此設定的建議狀態為: Enabled: Force Updated Clients 。密鑰路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle OS:WS2016、WS2019 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\系統管理範本\系統\認證委派\加密 Oracle 補救 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1 |
= 0 (登錄) |
重大 |
確定 [設定登錄原則處理:在定期背景處理期間不適用] 設定為 [Enabled: FALSE] (CCE-36169-1) |
描述:[在定期背景處理期間不要套用] 選項可防止系統在計算機使用時更新背景受影響的原則。 停用背景更新時,在下次使用者登入或系統重新啟動之前,原則變更才會生效。 此設定的建議狀態為: Enabled: FALSE (未核取)。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\組策略{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled ,然後將 選項設定 Process even if the Group Policy objects have not changed 為 TRUE (核取):計算機設定\原則\系統管理範本\系統\組策略\設定登錄原則處理 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 GroupPolicy.admx/adml 提供,隨附於 Microsoft Windows 8.0 和 Server 2012 (非 R2) 系統管理範本(或更新版本)。合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2 |
= 0 (登錄) |
重大 |
確定 [設定登錄原則處理:即使群組原則物件尚未變更,流程仍設定為 [Enabled: TRUE] (CCE-36169-1a) |
描述:即使組策略物件尚未變更,也會更新並重新套用原則,即使原則尚未變更也一樣。 此設定的建議狀態為: Enabled: TRUE (已核取)。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\組策略{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:若要透過 GP 建立建議的組態,請將下列 UI 路徑設定為 Enabled ,然後將 [即使組策略物件未變更] 選項設定為 'TRUE'(核取):計算機設定\原則\系統管理範本\系統\組策略\設定登錄原則處理 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 'GroupPolicy.admx/adml' 提供,隨附於 Microsoft Windows 8.0 & Server 2012 (非 R2) 系統管理範本 (或更新版本)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.21.3 |
= 0 (登錄) |
重大 |
確定 [在此裝置上繼續體驗] 設定為 [已停用] (AZ-WIN-00170) |
描述:此原則設定會決定是否允許 Windows 裝置參與跨裝置體驗(繼續體驗)。 此設定的建議狀態為: Disabled 。索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\系統\組策略\繼續在此裝置上的體驗 注意: 此組策略路徑預設可能不存在。 組策略範本 'GroupPolicy.admx/adml' 隨附於 Microsoft windows 10 版本 1607 和 Server 2016 系統管理範本(或更新版本)隨附的組策略範本。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.21.4 |
不存在或 = 0 (登錄) |
警告 |
列舉已加入網域電腦上的本機使用者 (AZ_WIN_202204) |
描述:此原則設定可讓已加入網域的計算機上列舉本機使用者。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員 組策略路徑:計算機設定\原則\系統管理範本\系統\登入\列舉已加入網域計算機上的本機使用者 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4 |
不存在或 = 0 (登錄) |
警告 |
在程序建立事件中包括命令列 (CCE-36925-6) |
描述:此原則設定會決定建立新進程時,哪些資訊會記錄在安全性稽核事件中。 此設定僅適用於啟用稽核程序建立原則時。 如果您啟用此原則設定,則每個程序的命令列資訊都會以純文字記錄在安全性事件記錄檔中,以作為稽核程序建立事件 4688「已建立新的程序」的一部分,而此安全性事件記錄檔位於套用此原則設定的工作站和伺服器上。 如果停用或未設定此原則設定,程式命令行資訊將不會包含在稽核進程建立事件中。 默認值:未設定注意:啟用此原則設定時,任何具有讀取安全性事件存取權的使用者都能夠讀取任何成功建立程式的命令行自變數。 命令列引數可以包含敏感性或私人資訊,例如密碼或使用者資料。 機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled OS:WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\系統\稽核程式建立\在程式建立事件中包含命令行 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 'AuditSettings.admx/adml' 所提供,隨附於 Microsoft Windows 8.1 和 Server 2012 R2 系統管理範本(或更新版本)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.3.1 |
= 1 (登錄) |
重大 |
防止從網際網路擷取裝置中繼資料 (AZ-WIN-202251) |
描述:此原則設定可讓您防止 Windows 從因特網擷取裝置元數據。 此設定的建議狀態為: Enabled 。 注意: 這不會防止安裝基本硬體驅動程式,但會防止相關聯的第三方公用程式軟體在帳戶內容 SYSTEM 下自動安裝。索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\系統\裝置安裝\防止從因特網擷取裝置元數據 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2 |
= 1 (登錄) |
資訊 |
遠端主機允許委派不可導出的認證 (AZ-WIN-20199) |
描述:遠端主機允許委派不可導出的認證。 使用認證委派時,裝置會將可導出的認證版本提供給遠端主機。 這會將使用者暴露在遠端主機上攻擊者竊取認證的風險。 受限制的系統管理模式和 Windows Defender 遠端認證防護功能是兩個選項,可協助防範此風險。 此設定的建議狀態為: Enabled 。 注意: 有關 Windows Defender 遠端認證防護及其與受限制管理員模式比較的詳細資訊,請參閱此連結: 使用 Windows Defender 遠端認證防護保護遠端桌面認證 (Windows 10) |Microsoft Docs密鑰路徑:SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds OS:WS2016、WS2019 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\系統管理範本\系統\認證委派\遠端主機允許委派不可導出的認證 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2 |
= 1 (登錄) |
重大 |
關閉鎖定畫面上的應用程式通知 (CCE-35893-7) |
描述:此原則設定可讓您防止應用程式通知出現在鎖定畫面上。 此設定的建議狀態為: Enabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\系統\登入\關閉鎖定畫面上的應用程式通知 注意: 此組策略路徑預設可能不存在。 組策略範本 'Logon.admx/adml' 隨附於 Microsoft windows 8.0 和 Server 2012 (非 R2) 系統管理範本 (或更新版本) 中。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.28.5 |
= 1 (登錄) |
警告 |
關閉組策略的背景重新整理 (CCE-14437-8) |
描述:此原則設定可防止在計算機使用時更新組策略。 此原則設定適用於計算機、使用者和域控制器的組策略。 此設定的建議狀態為: Disabled 。機碼路徑:Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\系統\組策略\關閉組策略的背景重新整理 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5 |
= 0 (登錄) |
警告 |
關閉透過 HTTP 下載列印驅動程式 (CCE-36625-2) |
描述:此原則設定可控制計算機是否可以透過 HTTP 下載列印驅動程式套件。 若要設定 HTTP 印表,標準作業系統安裝中無法使用的印表機驅動程式可能需要透過 HTTP 下載。 此設定的建議狀態為: Enabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\系統\因特網通訊管理\因特網通訊設定\關閉透過 HTTP 下載列印驅動程式 注意: 此組策略路徑是由組策略範本 'ICM.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.22.1.1 |
= 1 (登錄) |
警告 |
如果 URL 連線正在參照 Microsoft.com 時,關閉網際網路連線精靈 (CCE-37163-3) |
描述:此原則設定會指定 [因特網聯機精靈] 是否可以連線到 Microsoft,以下載因特網服務提供者 (ISP) 清單。 此設定的建議狀態為: Enabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\系統\因特網通訊管理\因特網通訊設定\如果 URL 連線參考 Microsoft.com,請關閉因特網聯機精靈 注意: 此組策略路徑是由組策略範本 'ICM.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.22.1.4 |
= 1 (登錄) |
警告 |
開啟方便 PIN 登入 (CCE-37528-7) |
描述:此原則設定可讓您控制網域使用者是否可以使用方便的 PIN 登入。 在 Windows 10 中,便利 PIN 已取代為 Passport,其安全性屬性更強。 若要為網域使用者設定 Passport,請使用電腦設定\系統管理範本\Windows 元件\Microsoft Passport for Work 下的原則。 注意: 使用此功能時,系統會在系統保存庫中快取使用者的網域密碼。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\系統\登入\開啟方便 PIN 登入 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 CredentialProviders.admx/adml 提供,其中包含Microsoft Windows 8.0 & Server 2012 (非 R2) 系統管理範本 (或更新版本)。附註 2: 在舊版Microsoft Windows 系統管理範本中,此設定最初命名為 開啟 PIN 登入,但從 Windows 10 版本 1511 系統管理範本開始重新命名。合規性標準對應: 名稱平台識別碼 CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7 |
不存在或 = 0 (登錄) |
警告 |
系統管理範本 - Windows 元件
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
關閉雲端取用者帳戶狀態內容 (AZ-WIN-202217) |
描述:此原則設定會決定雲端取用者帳戶狀態內容是否允許在所有 Windows 體驗中。 此設定的建議狀態為: Enabled 。索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\雲端內容\關閉雲端取用者帳戶狀態內容 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1 |
= 1 (登錄) |
警告 |
系統管理範本 - Windows 元件
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
不允許磁碟驅動器重新導向 (AZ-WIN-73569) |
描述:此原則設定可防止使用者將用戶端電腦上的本機磁碟驅動器共用至他們存取的遠端桌面伺服器。 對應磁碟驅動器會以下列格式出現在Windows 檔案總管的會話資料夾樹狀目錄中: \\TSClient\<driveletter>$ 如果共用本機磁碟驅動器,它們很容易受到入侵者的攻擊,而入侵者想要利用其上儲存的數據。 此設定的建議狀態為: Enabled 。密鑰路徑:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面會話主機\裝置和資源重新導向\不允許磁碟驅動器重新導向 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2 |
= 1 (登錄) |
警告 |
開啟 PowerShell 轉譯 (AZ-WIN-202208) |
描述:此原則設定可讓您將 Windows PowerShell 命令的輸入和輸出擷取到文字型文字記錄中。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\PowerShell\轉譯\EnableTranscripting OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\Windows PowerShell\開啟 PowerShell 轉譯 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2 |
= 0 (登錄) |
警告 |
系統管理範本 - Windows 安全性
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
防止使用者修改設定 (AZ-WIN-202209) |
描述:此原則設定可防止使用者在 Windows 安全性 設定中對惡意探索保護設定區域進行變更。 此設定的建議狀態為: Enabled 。密鑰路徑:SOFTWARE\Policies\Microsoft\Windows Defender 資訊安全中心\應用程式和瀏覽器保護\DisallowExploitProtectionOverride OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\Windows 安全性\應用程式與瀏覽器保護\防止使用者修改設定 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1 |
= 1 (登錄) |
警告 |
系統管理範本 - Windows Defender
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
設定受攻擊面縮小規則 (AZ_WIN_202205) |
描述:此原則設定可控制受攻擊面縮小 (ASR) 規則的狀態。 此設定的建議狀態為: Enabled 。主要路徑:SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender 惡意探索防護\ASR\ExploitGuard_ASR_Rules OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\Microsoft Defender 防毒軟體\Microsoft Defender 惡意探索防護\攻擊面縮小\設定受攻擊面縮小規則 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1 |
= 1 (登錄) |
警告 |
防止使用者和應用程式存取危險的網站 (AZ_WIN_202207) |
描述:此原則設定可控制 Microsoft Defender 惡意探索防護 網路保護。 此設定的建議狀態為: Enabled: Block 。主要路徑:SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender 惡意探索防護\網络保護\EnableNetworkProtection OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\Microsoft Defender 防毒軟體\Microsoft Defender 惡意探索防護\網络保護\防止使用者和應用程式存取危險網站 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1 |
= 1 (登錄) |
警告 |
稽核電腦帳戶管理
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
稽核電腦帳戶管理 (CCE-38004-8) |
描述:此子類別會報告計算機帳戶管理的每個事件,例如建立、變更、刪除、重新命名、停用或啟用計算機帳戶時。 此子類別的事件包括: - 4741:已建立計算機帳戶。 - 4742:計算機帳戶已變更。 - 4743:已刪除計算機帳戶。 此設定的建議狀態為: Success 。密鑰路徑: {0CCE9236-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\帳戶管理\稽核計算機帳戶管理 合規性標準對應: 名稱平台識別碼 CIS WS2022 17.2.2 CIS WS2019 17.2.2 |
= 成功 (審計) |
重大 |
安全核心
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
啟用開機 DMA 保護 (AZ-WIN-202250) |
描述:安全核心的伺服器支援系統韌體,可在開機過程中針對所有支援 DMA 的裝置,提供防範惡意和非預期直接記憶體存取 (DMA) 攻擊的系統韌體。 機碼路徑:BootDMAProtection OSEx:WSASHCI22H2 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:NA 合規性標準對應: |
= 1 (OsConfig) |
重大 |
啟用 Hypervisor 強制執行的程式代碼完整性 (AZ-WIN-202246) |
描述:HVCI 和 VBS 可改善 Windows 的威脅模型,並針對嘗試利用 Windows 核心的惡意代碼提供更強大的保護。 HVCI 是一個重要元件,可藉由在其中執行核心模式程式代碼完整性,並限制可用來危害系統的核心記憶體配置,來保護和強化 VBS 所建立的隔離虛擬環境。 密鑰路徑:HypervisorEnforcedCodeIntegrityStatus OSEx:WSASHCI22H2 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:NA 合規性標準對應: |
= 0 (OsConfig) |
重大 |
啟用安全開機 (AZ-WIN-202248) |
描述:安全開機是由計算機產業的成員所開發的安全性標準,可協助確保裝置僅使用原始設備製造商 (OEM) 信任的軟體開機。 機碼路徑:SecureBootState OSEx:WSASHCI22H2 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:NA 合規性標準對應: |
= 1 (OsConfig) |
重大 |
啟用系統防護 (AZ-WIN-202247) |
描述:使用處理器支援動態信任測量根 (DRTM) 技術,系統防護 將韌體放在硬體型沙盒中,以協助限制數百萬行高度特殊許可權韌體程式代碼中弱點的影響。 索引鍵路徑:SystemGuardStatus OSEx:WSASHCI22H2 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:NA 合規性標準對應: |
= 0 (OsConfig) |
重大 |
啟用虛擬化型安全性 (AZ-WIN-202245) |
描述:虛擬化型安全性或 VBS 會使用硬體虛擬化功能來建立和隔離安全記憶體區域與一般操作系統。 這有助於確保伺服器仍致力於執行重要工作負載,並協助保護相關應用程式和數據免於遭受攻擊和外洩。 根據預設,在 Azure Stack HCI 上會啟用和鎖定 VBS。 索引鍵路徑:VirtualizationBasedSecurityStatus OSEx:WSASHCI22H2 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:NA 合規性標準對應: |
= 0 (OsConfig) |
重大 |
設定 TPM 版本 (AZ-WIN-202249) |
描述:信賴平台模組 (TPM) 技術的設計目的是提供硬體型、安全性相關功能。 安全核心功能需要 TPM2.0。 金鑰路徑:TPMVersion OSEx:WSASHCI22H2 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:NA 合規性標準對應: |
包含 2.0 (OsConfig) |
重大 |
安全性選項 - 帳戶
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
帳戶: 封鎖 Microsoft 帳戶 (AZ-WIN-202201) |
描述:此原則設定可防止使用者在此計算機上新增Microsoft帳戶。 此設定的建議狀態為: Users can't add or log on with Microsoft accounts 。機碼路徑:Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\帳戶:封鎖Microsoft帳戶 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2 |
= 3 (登錄) |
警告 |
帳戶: Guest 帳戶狀態 (CCE-37432-2) |
描述:此原則設定會決定是否啟用或停用來賓帳戶。 來賓帳戶可讓未經驗證的網路使用者取得系統的存取權。 此設定的建議狀態為: Disabled 。 注意: 當透過組策略套用至域控制器組織單位時,此設定不會有任何影響,因為域控制器沒有本機帳戶資料庫。 它可以透過組策略在網域層級設定,類似於帳戶鎖定和密碼原則設定。機碼路徑:[系統存取]EnableGuestAccount OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\帳戶:來賓帳戶狀態 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3 |
= 0 (原則) |
重大 |
帳戶: 限制使用空白密碼的本機帳戶僅能登入到主控台 (CCE-37615-2) |
描述:此原則設定會決定未受密碼保護的本機帳戶是否可用來從實體計算機控制台以外的位置登入。 如果啟用此原則設定,具有空白密碼的本機帳戶將無法從遠端用戶端電腦登入網路。 這類帳戶只能登入計算機的鍵盤。 此設定的建議狀態為: Enabled 。機碼路徑:SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\帳戶:將本機帳戶使用空白密碼限制為僅限控制台登入 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4 |
不存在或 = 1 (登錄) |
重大 |
帳戶: 重新命名來賓帳戶名稱 (AZ-WIN-202255) |
描述:內建的本機來賓帳戶是攻擊者的另一個已知名稱。 建議將此帳戶重新命名為未指出其用途的內容。 即使您停用此帳戶,還是建議這麼做,請確定您已將它重新命名為已新增的安全性。 在域控制器上,由於它們沒有自己的本機帳戶,此規則是指第一次建立網域時所建立的內建來賓帳戶。 機碼路徑:[系統存取]NewGuestName OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\帳戶:重新命名來賓帳戶 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6 |
!= 來賓 (原則) |
警告 |
網路存取: 允許匿名 SID/名稱轉譯 (CCE-10024-8) |
描述:此原則設定會決定匿名使用者是否可以要求其他使用者的安全標識碼 (SID) 屬性,或使用 SID 來取得其對應的用戶名稱。 此設定的建議狀態為: Disabled 。機碼路徑:[系統存取]LSAAnonymousNameLookup OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網络存取:允許匿名 SID/名稱轉譯 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1 |
= 0 (原則) |
警告 |
安全性選項 - 稽核
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新的版本) 以覆寫稽核原則類別設定 (CCE-37850-5) |
描述:此原則設定可讓系統管理員啟用 Windows Vista 中更精確的稽核功能。 Windows Server 2003 Active Directory 中可用的審核策略設定尚未包含管理新稽核子類別的設定。 若要正確套用此基準中指定的稽核原則,您必須將稽核:強制審核策略子類別設定 (Windows Vista 或更新版本) 覆寫審核策略類別設定設定設定為 [已啟用]。 索引鍵路徑:SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\稽核:強制審核策略子類別設定 (Windows Vista 或更新版本) 覆寫審核策略類別設定 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.2.1 |
不存在或 = 1 (登錄) |
重大 |
稽核:當無法記錄安全性稽核時,系統立即關機 (CCE-35907-5) |
描述:此原則設定可判斷系統是否無法記錄安全性事件,是否關閉。 這是信任的計算機系統評估準則 (TCSEC)-C2 和通用準則認證的需求,以防止稽核系統無法記錄事件時發生。 Microsoft已藉由停止系統,並在稽核系統發生失敗時顯示停止訊息,選擇符合此需求。 啟用此原則設定時,如果基於任何原因無法記錄安全性稽核,系統將會關閉。 如果稽核:如果啟用無法記錄安全性稽核設定,系統就會立即關閉系統,可能會發生非計劃性系統失敗。 系統管理負擔可能很重要,特別是如果您也設定安全性記錄的保留方法不要覆寫事件(手動清除記錄檔)。 此設定會導致拒絕威脅(備份操作員可能會拒絕備份或還原數據)成為阻斷服務 (DoS) 弱點,因為如果伺服器因登入事件和其他寫入安全性記錄的安全性事件而不知所措,伺服器可能會被迫關閉。 此外,由於關機沒有正常運作,因此可能會造成操作系統、應用程式或數據無法彌補的損害。 雖然 NTFS 檔案系統會在發生不正常電腦關機時保證其完整性,但無法保證每一個應用程式的每個數據檔在電腦重新啟動時仍會以可用形式顯示。 此設定的建議狀態為: Disabled 。機碼路徑:SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\稽核:如果無法記錄安全性稽核,請立即關閉系統 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2 |
不存在或 = 0 (登錄) |
重大 |
安全性選項 - 裝置
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
裝置: 允許格式化以及退出卸除式媒體 (CCE-37701-0) |
描述:此原則設定會決定允許誰格式化和退出卸除式媒體。 您可以使用此原則設定來防止未經授權的使用者移除某部計算機上的資料,以在具有本機系統管理員許可權的另一部計算機上存取數據。 機碼路徑:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\裝置:允許格式化和退出卸除式媒體 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.4.1 |
不存在或 = 0 (登錄) |
警告 |
裝置: 防止使用者安裝印表機驅動程式 (CCE-37942-0) |
描述:若要讓計算機列印到共用印表機,該共用印表機的驅動程式必須安裝在本機計算機上。 此安全性設定會決定誰允許在連線到共用印表機時安裝印表機驅動程式。 此設定的建議狀態為: Enabled 。 注意: 此設定不會影響新增本機印表機的能力。 此設定不會影響系統管理員。索引鍵路徑:SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\裝置:防止使用者安裝列印機驅動程式 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2 |
不存在或 = 1 (登錄) |
警告 |
將列印驅動程式安裝限制為系統管理員 (AZ_WIN_202202) |
描述:此原則設定可控制不是系統管理員的使用者是否可以在系統上安裝列印驅動程式。 此設定的建議狀態為: Enabled 。 注意: 在 2021 年 8 月 10 日,Microsoft宣佈了 Point 和 Print Default Behavior Change ,修改預設的 Point 和 Print 驅動程式安裝和更新行為,以要求系統管理員許可權。 本文記載於KB5005652管理新的點和列印默認驅動程式安裝行為(CVE-2021-34481)。機碼路徑:Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\系統管理範本\MS 安全性指南\將列印驅動程式安裝限制為系統管理員 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.3.5 CIS WS2019 18.3.5 |
= 1 (登錄) |
警告 |
安全性選項 - 網域成員
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
確認 [網域成員:安全通道資料加以數位加密或簽章 (一律)] 設為 [已啟用] (CCE-36142-8) |
描述:此原則設定會決定網域成員起始的所有安全通道流量都必須經過簽署或加密。 此設定的建議狀態為: Enabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網域成員:數位加密或簽署安全通道數據(一律) 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1 |
不存在或 = 1 (登錄) |
重大 |
確認 [網域成員:安全通道資料加以數位加密 (可能的話)] 設為 [已啟用] (CCE-37130-2) |
描述:此原則設定會決定網域成員是否應該嘗試為其起始的所有安全通道流量交涉加密。 此設定的建議狀態為: Enabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網域成員:數位加密安全通道數據(可能的話) 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2 |
不存在或 = 1 (登錄) |
重大 |
確認 [網域成員: 安全通道資料加以數位簽章 (可能的話)] 設為 [已啟用] (CCE-37222-7) |
描述: 此原則設定會決定網域成員是否應該嘗試交涉它起始的所有安全通道流量是否都必須經過數字簽署。 數位簽名可保護流量,防止在數據周遊網路時擷取數據的任何人修改流量。 此設定的建議狀態為:『Enabled』。 索引鍵路徑:SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網域成員:數字簽署安全通道數據(可能的話) 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3 |
不存在或 = 1 (登錄) |
重大 |
確認 [網域成員:停用電腦帳戶密碼變更] 已設為 [已停用] (CCE-37508-9) |
描述: 此原則設定會決定網域成員是否可以定期變更其電腦帳戶密碼。 無法自動變更其帳戶密碼的計算機可能會受到攻擊,因為攻擊者可能能夠判斷系統網域帳戶的密碼。 此設定的建議狀態為:『Disabled』。 機碼路徑:SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網域成員:停用計算機帳戶密碼變更 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4 |
不存在或 = 0 (登錄) |
重大 |
確認 [網域成員:電腦帳戶密碼存留期上限] 設定為 [30 天或更少天,但不設定為 0] (CCE-37431-4) |
描述:此原則設定會決定計算機帳戶密碼允許的最大存留期。 根據預設,網域成員會每隔 30 天自動變更其網域密碼。 如果您大幅增加此間隔,讓計算機不再變更其密碼,攻擊者將有更多時間對其中一個計算機帳戶進行暴力密碼破解攻擊。 此設定的建議狀態為: 30 or fewer days, but not 0 。 注意: 的值 0 不符合基準檢驗,因為它會停用密碼最長存留期。機碼路徑:System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 30 or fewer days, but not 0 :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網域成員:計算機帳戶密碼存留期上限 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5 |
在 1-30 中 (登錄) |
重大 |
確定 [網域成員:需要強式 (Windows 2000 或更新版本) 會話密鑰] 設定為 [已啟用] (CCE-37614-5) |
描述:啟用此原則設定時,只能使用能夠使用強式 (128 位) 會話密鑰加密安全通道數據的域控制器來建立安全通道。 若要啟用此原則設定,網域中的所有域控制器都必須能夠使用強密鑰加密安全通道數據,這表示所有域控制器都必須執行Microsoft Windows 2000 或更新版本。 此設定的建議狀態為: Enabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網域成員:需要強式 (Windows 2000 或更新版本) 會話密鑰 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6 |
不存在或 = 1 (登錄) |
重大 |
安全性選項 - 互動式登錄
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
登入認證的快取必須受到限制 (AZ-WIN-73651) |
描述:此原則設定可決定使用者是否可以使用快取的帳戶資訊登入 Windows 網域。 網域帳戶的登入資訊可以在本機快取,以允許使用者登入,即使無法連絡域控制器也一樣。 此原則設定決定本機快取登入資訊的唯一用戶數目。 如果此值設定為 0,則會停用登入快取功能。 能夠存取伺服器檔案系統的攻擊者可以找到此快取資訊,並使用暴力密碼破解攻擊來判斷用戶密碼。 此設定的建議狀態為: 4 or fewer logon(s) 。機碼路徑:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\互動式登錄:先前快取的登入次數(如果域控制器無法使用) 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6 |
在 1-4 中 (登錄) |
資訊 |
互動式登入:不要顯示上次登入的使用者名稱 (CCE-36056-0) |
描述:此原則設定會決定要登入您組織中用戶端計算機的最後一位使用者的帳戶名稱是否會顯示在每部計算機的個別 Windows 登入畫面中。 啟用此原則設定,以防止入侵者從組織中的桌面電腦或膝上型計算機畫面以可視化方式收集帳戶名稱。 此設定的建議狀態為: Enabled 。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\互動式登錄:不要顯示上次登入 注意: 在舊版的 Microsoft Windows 中,此設定名為 互動式登錄:不要顯示姓氏,而是從 Windows Server 2019 開始重新命名。 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2 |
= 1 (登錄) |
重大 |
互動式登入: 不要求按 CTRL+ALT+DEL 鍵 (CCE-37637-6) |
描述:此原則設定會決定使用者登入之前,是否必須按 CTRL+ALT+DEL。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\互動式登錄:不需要 CTRL+ALT+DEL 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1 |
不存在或 = 0 (登錄) |
重大 |
互動式登入: 電腦未使用時間限制 (AZ-WIN-73645) |
描述:Windows 注意到登入會話的非使用中時間量超過非使用中限制,則螢幕保護程式會執行,鎖定會話。 此設定的建議狀態為: 900 or fewer second(s), but not 0 。 注意: 的值 0 不符合基準檢驗,因為它會停用計算機閑置限制。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\互動式登錄:計算機無活動限制 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3 |
在 1-900 中 (登錄) |
重要 |
互動式登入: 給登入使用者的訊息本文 (AZ-WIN-202253) |
描述:此原則設定會指定當使用者登入時向用戶顯示的簡訊。 以符合組織安全性和操作需求的方式設定此設定。 機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\互動式登錄:嘗試登入的使用者訊息正文 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4 |
!= (登錄) |
警告 |
互動式登入: 給登入使用者的訊息標題 (AZ-WIN-202254) |
描述:此原則設定會指定使用者在登入系統時所看到視窗標題列中顯示的文字。 以符合組織安全性和操作需求的方式設定此設定。 機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\互動式登錄:嘗試登入的使用者訊息標題 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5 |
!= (登錄) |
警告 |
互動式登入: 在密碼到期前提示使用者變更密碼 (CCE-10930-6) |
描述:此原則設定會決定用戶密碼到期的提前程度。 建議您將此原則設定設為至少 5 天,但不超過 14 天,以在密碼到期時充分警告使用者。 此設定的建議狀態為: between 5 and 14 days 。機碼路徑:Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\互動式登錄:在到期前提示使用者變更密碼 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7 |
在 5-14 中 (登錄) |
資訊 |
安全性選項 - Microsoft網路用戶端
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
Microsoft 網路用戶端: 數位簽章通訊 (一律) (CCE-36325-9) |
描述: 此原則設定會決定SMB用戶端元件是否需要封包簽署。 注意: 當 Windows Vista 型電腦啟用此原則設定,且它們連線到遠端伺服器上的檔案或列印共用時,請務必將設定與其隨附設定同步處理, Microsoft網路伺服器:在這些伺服器上數位簽署通訊(一律)。 如需這些設定的詳細資訊,請參閱威脅與對策指南第 5 章中的 索引鍵路徑:SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\Microsoft網络用戶端:數位簽署通訊(一律) 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1 |
= 1 (登錄) |
重大 |
Microsoft 網路用戶端:數位簽章用戶端的通訊 (如果伺服器同意) (CCE-36269-9) |
描述:此原則設定會決定SMB用戶端是否會嘗試交涉SMB封包簽署。 注意: 在網路上的 SMB 用戶端上啟用此原則設定,可讓這些客戶端在環境中使用所有用戶端和伺服器進行封包簽署完全有效。 此設定的建議狀態為: Enabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\Microsoft網络用戶端:數位簽署通訊(如果伺服器同意) 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2 |
不存在或 = 1 (登錄) |
重大 |
Microsoft 網路用戶端: 傳送未加密的密碼到其他廠商的 SMB 伺服器 (CCE-37863-8) |
描述: 此原則設定會決定SMB重新導向器是否會在驗證期間傳送純文字密碼給不支援密碼加密的第三方 SMB 伺服器。 建議您停用此原則設定,除非有強大的商務案例可加以啟用。 如果啟用此原則設定,則會允許跨網路使用未加密的密碼。 此設定的建議狀態為:『Disabled』。 機碼路徑:SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\Microsoft網络用戶端:將未加密的密碼傳送給第三方 SMB 伺服器 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3 |
不存在或 = 0 (登錄) |
重大 |
Microsoft 網路伺服器: 暫停工作階段前,要求的閒置時間 (CCE-38046-9) |
描述:此原則設定可讓您指定由於閑置而暫停會話之前,必須傳入SMB工作階段的持續閒置時間量。 系統管理員可以使用此原則設定來控制電腦何時暫停非使用中的SMB會話。 如果客戶端活動繼續,會話會自動重新建立。 值 0 似乎允許會話無限期保存。 最大值為 99999,超過 69 天:實際上,這個值會停用設定。 此設定的建議狀態為: 15 or fewer minute(s), but not 0 。索引鍵路徑:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 15 or fewer minute(s) :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\Microsoft網络伺服器:暫停會話前所需的空閒時間量 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.9.1 |
在 1-15 中 (登錄) |
重大 |
Microsoft 網路伺服器: 數位簽章通訊 (一律) (CCE-37864-6) |
描述:此原則設定會決定SMB伺服器元件是否需要封包簽署。 在混合環境中啟用此原則設定,以防止下游用戶端使用工作站作為網路伺服器。 此設定的建議狀態為: Enabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\Microsoft網络伺服器:數位簽署通訊(一律) 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2 |
= 1 (登錄) |
重大 |
Microsoft 網路伺服器:數位簽章伺服器的通訊 (如果用戶端同意) (CCE-35988-5) |
描述:此原則設定會決定SMB伺服器是否會與要求SMB的用戶端交涉SMB封包簽署。 如果沒有來自用戶端的簽署要求,如果 Microsoft網路伺服器,則會允許沒有簽章的連線:未啟用數位簽署通訊(一律) 設定。 注意: 在您的網路上的SMB用戶端上啟用此原則設定,使其能夠完全有效地與環境中所有客戶端和伺服器進行封包簽署。 此設定的建議狀態為: Enabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\Microsoft網络伺服器:數位簽署通訊(如果用戶端同意) 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3 |
= 1 (登錄) |
重大 |
Microsoft 網路伺服器: 當登入時數到期時,中斷用戶端連線 (CCE-37972-7) |
描述:此安全性設定會決定是否中斷連線到用戶帳戶有效登入時數外部本機計算機的用戶連線。 此設定會影響伺服器消息塊 (SMB) 元件。 如果您啟用此原則設定,也應該啟用 網路安全性:在登入時強制註銷時到期 (規則 2.3.11.6)。 如果您的組織為用戶設定登入時數,則需要此原則設定,以確保其有效。 此設定的建議狀態為: Enabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\Microsoft網络伺服器:在登入時中斷用戶端連線 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4 |
不存在或 = 1 (登錄) |
重大 |
Microsoft 網路伺服器: 伺服器 SPN 目標名稱驗證層級 (CCE-10617-9) |
描述:此原則設定可控制具有共享資料夾或印表機的計算機在用戶端電腦使用伺服器消息塊 (SMB) 通訊協定建立會話時,所提供之服務主體名稱 (SPN) 的驗證層級。 伺服器消息塊 (SMB) 通訊協定提供檔案和列印共用和其他網路作業的基礎,例如遠端 Windows 系統管理。 SMB 通訊協定支援驗證 SMB 用戶端所提供的驗證 Blob 內的 SMB 伺服器服務主體名稱 (SPN),以防止對 SMB 伺服器進行類別的攻擊,稱為 SMB 轉送攻擊。 此設定會影響SMB1和SMB2。 此設定的建議狀態為: Accept if provided by client 。 設定此設定也 Required from client 符合基準檢驗。 注意:由於 MS KB3161561安全性修補程式的發行,此設定可能會造成重大問題(例如復寫問題、組策略編輯問題和藍螢幕當機)在域控制器上同時搭配 UNC 路徑強化使用時(亦即規則 18.5.14.11)。 因此,CIS 建議在域控制器上部署此設定。索引鍵路徑:System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\Microsoft網络伺服器:伺服器 SPN 目標名稱驗證層級 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5 |
= 1 (登錄) |
警告 |
安全性選項 - Microsoft網路伺服器
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
停用SMB v1 伺服器 (AZ-WIN-00175) |
描述:停用此設定會停用SMBv1通訊協定的伺服器端處理。 (建議。)啟用此設定可啟用SMBv1通訊協定的伺服器端處理。 (預設值。)此設定的變更需要重新啟動才會生效。 如需詳細資訊,請參閱 https://support.microsoft.com/kb/2696547 索引鍵路徑:SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:不適用 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.3.3 |
不存在或 = 0 (登錄) |
重大 |
安全性選項 - 網路存取
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
帳戶: 重新命名系統管理員帳戶 (CCE-10976-9) |
描述:內建的本機系統管理員帳戶是攻擊者將鎖定的已知帳戶名稱。 建議為此帳戶選擇另一個名稱,並避免表示系統管理或提高許可權存取帳戶的名稱。 請務必也變更本機系統管理員的預設描述(透過電腦管理控制台)。 在域控制器上,由於它們沒有自己的本機帳戶,所以此規則是指第一次建立網域時所建立的內建系統管理員帳戶。 機碼路徑:[系統存取]NewAdministratorName OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\帳戶:重新命名系統管理員帳戶 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5 |
!= 系統管理員 (原則) |
警告 |
網路存取: 不允許 SAM 帳戶的匿名列舉 (CCE-36316-8) |
描述:此原則設定可控制匿名用戶能夠列舉安全性帳戶管理員 (SAM) 中的帳戶。 如果啟用此原則設定,具有匿名連線的使用者將無法列舉您環境中的系統上的網域帳戶用戶名稱。 此原則設定也允許匿名連線的其他限制。 此設定的建議狀態為: Enabled 。 注意: 此原則不會影響域控制器。索引鍵路徑:SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項 etwork 存取:不允許 SAM 帳戶的匿名列舉 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.10.2 |
不存在或 = 1 (登錄) |
重大 |
網路存取: 不允許 SAM 帳戶和共用的匿名列舉 (CCE-36077-6) |
描述:此原則設定可控制匿名用戶列舉 SAM 帳戶和共用的能力。 如果啟用此原則設定,匿名使用者將無法列舉您環境中的系統上的功能變數名稱和網路共享名稱。 此設定的建議狀態為: Enabled 。 注意: 此原則不會影響域控制器。索引鍵路徑:SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項 etwork 存取:不允許 SAM 帳戶和共用的匿名列舉 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.10.3 |
= 1 (登錄) |
重大 |
網路存取: 讓 Everyone 權限套用到匿名使用者 (CCE-36148-5) |
描述:此原則設定會決定指派給計算機匿名連線的額外許可權。 此設定的建議狀態為: Disabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網络存取:讓所有人許可權套用至匿名使用者 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5 |
不存在或 = 0 (登錄) |
重大 |
網路存取: 可遠端存取的登錄路徑 (CCE-37194-8) |
描述:此原則設定會決定在參考 WinReg 機碼以判斷路徑訪問許可權之後,可存取哪些登錄路徑。 注意:此設定不存在於 Windows XP 中。 Windows XP 中有一個具有該名稱的設定,但它在 Windows Server 2003、Windows Vista 和 Windows Server 2008 中稱為「網路存取:遠端訪問登錄路徑和子路徑」。 注意:當您設定此設定時,您可以指定一或多個物件的清單。 輸入清單時所使用的分隔符是換行字元或歸位字元,也就是輸入清單上的第一個物件、按 Enter 按鈕、輸入下一個物件、再按 Enter 等等。設定值會儲存為組策略安全性範本中的逗號分隔清單。 它也會在組策略編輯器的顯示窗格和原則結果集控制台中轉譯為逗號分隔清單。 它會在登錄中記錄為REG_MULTI_SZ值中的行摘要分隔清單。 機碼路徑:SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion 計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網络存取:遠端訪問登錄路徑 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.10.8 |
不存在或 = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 (登錄) |
重大 |
網路存取:遠端訪問登錄路徑和子路徑 (CCE-36347-3) |
描述:此原則設定會決定當應用程式或進程參考 WinReg 機碼以判斷訪問許可權時,將可存取哪些登錄路徑和子路徑。 注意:在 Windows XP 中,此設定稱為「網路存取:遠端訪問登錄路徑」,Windows Vista、Windows Server 2008 和 Windows Server 2003 中具有相同名稱的設定不存在於 Windows XP 中。 注意:當您設定此設定時,您可以指定一或多個物件的清單。 輸入清單時所使用的分隔符是換行字元或歸位字元,也就是輸入清單上的第一個物件、按 Enter 按鈕、輸入下一個物件、再按 Enter 等等。設定值會儲存為組策略安全性範本中的逗號分隔清單。 它也會在組策略編輯器的顯示窗格和原則結果集控制台中轉譯為逗號分隔清單。 它會在登錄中記錄為REG_MULTI_SZ值中的行摘要分隔清單。 機碼路徑:SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog 計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項 etwork 存取:遠端訪問登錄路徑和子路徑 當伺服器具有證書頒發機構單位角色服務的 Active Directory 憑證服務角色時,上述清單也應該包含:'System\CurrentControlSet\Services\CertSvc'。 安裝 WINS 伺服器功能的伺服器時,上述清單也應該包含: 'System\CurrentControlSet\Services\WINS' 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.10.9 |
不存在或 = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\TerminalServer\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 (登錄) |
重大 |
網路存取: 限制匿名存取具名管道和共用 (CCE-36021-4) |
描述:啟用時,此原則設定只會限制匿名存取 和 Network access: Shares that can be accessed anonymously 設定中所命名的Network access: Named pipes that can be accessed anonymously 共用和管道。 此原則設定可藉由在登錄機碼中新增 RestrictNullSessAccess 值 1 ,控制計算機上共用的 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters Null 會話存取。 此登錄值會開啟或關閉 Null 工作階段共用,以控制伺服器服務是否限制未經驗證用戶端對具名資源的存取。 此設定的建議狀態為: Enabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網络存取:限制匿名存取命名管道和共用 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10 |
不存在或 = 1 (登錄) |
重大 |
網路存取:限制允許遠端呼叫 SAM 的用戶端 (AZ-WIN-00142) |
描述:此原則設定可讓您限制對 SAM 的遠端 RPC 連線。 如果未選取,則會使用預設的安全性描述元。 此原則至少支援 Windows Server 2016。 索引鍵路徑:SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM OS:WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators: Remote Access: Allow :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項 etwork 存取:限制允許對 SAM 進行遠端呼叫的用戶端 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.10.11 |
不存在或 = O:BAG:BAD:(A;;鋼筋混凝土;;;BA) (登錄) |
重大 |
網路存取: 可以匿名存取的共用 (CCE-38095-6) |
描述:此原則設定會決定匿名用戶可存取哪些網路共用。 此原則設定的預設組態幾乎沒有作用,因為所有使用者都必須經過驗證,才能存取伺服器上的共享資源。 注意:將其他共用新增至此組策略設定可能非常危險。 任何網路使用者可以存取列出的任何共用,這可能會暴露或損毀敏感數據。 注意:當您設定此設定時,您可以指定一或多個物件的清單。 輸入清單時所使用的分隔符是換行字元或歸位字元,也就是輸入清單上的第一個物件、按 Enter 按鈕、輸入下一個物件、再按 Enter 等等。設定值會儲存為組策略安全性範本中的逗號分隔清單。 它也會在組策略編輯器的顯示窗格和原則結果集控制台中轉譯為逗號分隔清單。 它會在登錄中記錄為REG_MULTI_SZ值中的行摘要分隔清單。 索引鍵路徑:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 <blank> (亦即 None):計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項 etwork 存取:可以匿名存取的共用 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.10.12 |
不存在或 = (登錄) |
重大 |
網路存取: 共用和安全性模式用於本機帳戶 (CCE-37623-6) |
描述:此原則設定會決定使用本機帳戶的網路登入如何進行驗證。 [傳統] 選項可讓您精確控制資源的存取權,包括為相同資源指派不同類型的不同使用者存取權的能力。 [僅限來賓] 選項可讓您平等對待所有使用者。 在此內容中,所有使用者只會以來賓身分進行驗證,以接收指定資源的相同存取層級。 此設定的建議狀態為: Classic - local users authenticate as themselves 。 注意: 此設定不會影響使用 Telnet 或遠端桌面服務(先前稱為終端機服務)等服務從遠端執行的互動式登錄。索引鍵路徑:SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Classic - local users authenticate as themselves :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網络存取:本機帳戶的共用和安全性模型 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13 |
不存在或 = 0 (登錄) |
重大 |
安全性選項 - 網路安全性
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
網路安全性: 允許 Local System 對 NTLM 使用電腦身分識別 (CCE-38341-4) |
描述:啟用時,此原則設定會導致使用 Negotiate 的本機系統服務在交涉選取 NTLM 驗證時使用電腦身分識別。 此原則至少支援 Windows 7 或 Windows Server 2008 R2。 機碼路徑:SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId OS:WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項 etwork 安全性:允許本機系統使用NTLM的電腦身分識別 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.11.1 |
= 1 (登錄) |
重大 |
網路安全性: 允許 LocalSystem NULL 工作階段回復 (CCE-37035-3) |
描述:此原則設定可決定搭配 LocalSystem 使用時,是否允許 NTLM 回復為 NULL 會話。 此設定的建議狀態為: Disabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網络安全性:允許 LocalSystem NULL 會話後援 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2 |
不存在或 = 0 (登錄) |
重大 |
網路安全性:允許此電腦的 PKU2U 驗證要求使用線上身分識別 (CCE-38047-7) |
描述:此設定會決定在線身分識別是否能夠向這部計算機進行驗證。 Windows 7 和 Windows Server 2008 R2 中引進的公鑰密碼編譯型使用者對使用者 (PKU2U) 通訊協定會實作為安全性支援提供者 (SSP)。 SSP 可啟用點對點驗證,特別是透過稱為 Homegroup 的 Windows 7 媒體和檔案共用功能,允許在不是網域成員的計算機之間共用。 使用 PKU2U 時,已將新的擴充功能引入交涉驗證套件。 Spnego.dll 在舊版 Windows 中,Negotiate 決定要使用 Kerberos 或 NTLM 進行驗證。 Windows 視為驗證通訊協定的 Extension Negoexts.dll SSP 支援Microsoft SSP,包括 PKU2U。 當電腦設定為使用在線標識元接受驗證要求時, Negoexts.dll 請在用來登入的計算機上呼叫 PKU2U SSP。 PKU2U SSP 會取得本機憑證,並在對等計算機之間交換原則。 在對等計算機上驗證時,元數據內的憑證會傳送至登入對等進行驗證,並將使用者的憑證與安全性令牌產生關聯,而登入程式就會完成。 此設定的建議狀態為: Disabled 。機碼路徑:SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網络安全性:允許對這部計算機使用在線身分識別的 PKU2U 驗證要求 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3 |
不存在或 = 0 (登錄) |
警告 |
網路安全性:設定 Kerberos 允許的加密類型 (CCE-37755-6) |
描述:此原則設定可讓您設定 Kerberos 允許使用的加密類型。 此原則至少支援 Windows 7 或 Windows Server 2008 R2。 機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes OS:WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網络安全性:設定 Kerberos 允許的加密類型 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.11.4 |
不存在或 = 2147483640 (登錄) |
重大 |
網路安全性: 下次密碼變更時不儲存 LAN Manager 雜湊數值 (CCE-36326-7) |
描述:此原則設定會決定變更密碼時,是否儲存新密碼的 LAN Manager (LM) 哈希值。 相較於密碼編譯更強Microsoft Windows NT 哈希,LM 哈希相對較弱且容易受到攻擊。 由於 LM 哈希會儲存在安全性資料庫中的本機電腦上,因此如果受到攻擊資料庫,密碼就很容易遭到入侵。 注意: 啟用此原則設定時,較舊的操作系統和某些第三方應用程式可能會失敗。 此外,請注意,啟用此設定以取得適當權益之後,必須在所有帳戶上變更密碼。 此設定的建議狀態為: Enabled 。機碼路徑:SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網络安全性:不要在下一個密碼變更時儲存 LAN Manager 哈希值 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5 |
不存在或 = 1 (登錄) |
重大 |
網路安全性: LAN Manager 驗證等級 (CCE-36173-3) |
描述:LAN Manager (LM) 是一系列早期Microsoft用戶端/伺服器軟體,可讓使用者將個人電腦連結在單一網路上。 網路功能包括透明檔案和列印共用、使用者安全性功能,以及網路管理工具。 在 Active Directory 網域中,Kerberos 通訊協定是預設的驗證通訊協定。 不過,如果未交涉 Kerberos 通訊協定,基於某些原因,Active Directory 會使用 LM、NTLM 或 NTLMv2。 LAN Manager 驗證包括 LM、 NTLM 和 NTLM 第 2 版 (NTLMv2) 變體,是用來驗證所有 Windows 用戶端執行下列作業的通訊協定:- 加入網域 - 在 Active Directory 樹系之間驗證 - 驗證至下層網域 - 驗證未執行 Windows 2000、Windows Server 2003 或 Windows XP 的計算機 - 向不在網域的計算機驗證網路安全性的可能值: LAN Manager 驗證層級設定為:- 傳送 LM 和 NTLM 回應 - 傳送 LM 和 NTLM — 如果交涉使用 NTLMv2 會話安全性 - 僅傳送 NTLM 回應 - 僅傳送 NTLMv2 回應 - 傳送 NTL 只有Mv2 回應\拒絕 LM - 僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM - 未定義網路安全性:LAN Manager 驗證層級設定會決定用於網路登入的挑戰/回應驗證通訊協定。 此選項會影響用戶端使用的驗證通訊協定層級、計算機交涉的會話安全性層級,以及伺服器接受的驗證層級,如下所示: - 傳送 LM 和 NTLM 回應。 用戶端會使用 LM 和 NTLM 驗證,且永遠不會使用 NTLMv2 會話安全性。 域控制器接受 LM、NTLM 和 NTLMv2 驗證。 - 傳送 LM 和 NTLM — 如果交涉使用 NTLMv2 會話安全性。 用戶端會使用 LM 和 NTLM 驗證,並在伺服器支援時使用 NTLMv2 會話安全性。 域控制器接受 LM、NTLM 和 NTLMv2 驗證。 - 僅傳送 NTLM 回應。 用戶端只會使用 NTLM 驗證,並在伺服器支援時使用 NTLMv2 會話安全性。 域控制器接受 LM、NTLM 和 NTLMv2 驗證。 - 僅傳送NTLMv2回應。 用戶端只會使用 NTLMv2 驗證,並在伺服器支援時使用 NTLMv2 會話安全性。 域控制器接受 LM、NTLM 和 NTLMv2 驗證。 - 僅傳送 NTLMv2 回應\拒絕 LM。 用戶端只會使用 NTLMv2 驗證,並在伺服器支援時使用 NTLMv2 會話安全性。 域控制器拒絕 LM(只接受NTLM和NTLMv2驗證)。 - 僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM。 用戶端只會使用 NTLMv2 驗證,並在伺服器支援時使用 NTLMv2 會話安全性。 域控制器拒絕 LM 和 NTLM(只接受 NTLMv2 驗證)。 這些設定對應至其他Microsoft檔中討論的層級,如下所示:- 層級 0 — 傳送 LM 和 NTLM 回應;永遠不要使用 NTLMv2 會話安全性。 用戶端會使用 LM 和 NTLM 驗證,且永遠不會使用 NTLMv2 會話安全性。 域控制器接受 LM、NTLM 和 NTLMv2 驗證。 - 層級 1 - 如果交涉使用 NTLMv2 會話安全性。 用戶端會使用 LM 和 NTLM 驗證,並在伺服器支援時使用 NTLMv2 會話安全性。 域控制器接受 LM、NTLM 和 NTLMv2 驗證。 - 層級 2 — 僅傳送 NTLM 回應。 用戶端只使用NTLM驗證,如果伺服器支援,請使用NTLMv2會話安全性。 域控制器接受 LM、NTLM 和 NTLMv2 驗證。 - 層級 3 — 僅傳送 NTLMv2 回應。 用戶端會使用NTLMv2驗證,並在伺服器支援時使用NTLMv2會話安全性。 域控制器接受 LM、NTLM 和 NTLMv2 驗證。 - 層級 4 — 域控制器拒絕 LM 回應。 用戶端會使用 NTLM 驗證,並在伺服器支援時使用 NTLMv2 會話安全性。 域控制器拒絕 LM 驗證,也就是說,他們接受NTLM和NTLMv2。 - 層級 5 — 域控制器拒絕 LM 和 NTLM 回應(只接受 NTLMv2)。 用戶端會使用 NTLMv2 驗證,如果伺服器支援,請使用 和 NTLMv2 會話安全性。 域控制器拒絕 NTLM 和 LM 驗證(他們只接受 NTLMv2)。 索引鍵路徑:SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為:『僅傳送 NTLMv2 回應。 拒絕 LM 和 NTLM': 計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項 etwork 安全性:LAN Manager 驗證層級 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.11.7 |
= 5 (登錄) |
重大 |
網路安全性: LDAP 用戶端簽章要求 (CCE-36858-9) |
描述:此原則設定會決定代表發出LDAP BIND要求的用戶端要求的數據簽署層級。 注意: 此原則設定對LDAP簡單系結 (ldap_simple_bind ) 或透過SSL的ldap_simple_bind_s LDAP簡單系結沒有任何影響。 Windows XP Professional 隨附的 Microsoft LDAP 用戶端不會使用 ldap_simple_bind 或 ldap_simple_bind_s 與域控制器通訊。 此設定的建議狀態為: Negotiate signing 。 設定此設定也 Require signing 符合基準檢驗。索引鍵路徑:SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Negotiate signing (設定也 Require signing 符合基準檢驗):計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網络安全性:LDAP 用戶端簽署需求 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8 |
不存在或 = 1 (登錄) |
重大 |
網路安全性: NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性 (CCE-37553-5) |
描述:此原則設定會決定用戶端使用NTLM安全性支援提供者 (SSP) 的應用程式允許哪些行為。 需要驗證服務的應用程式會使用 SSP 介面 (SSPI)。 此設定不會修改驗證順序的運作方式,而是在使用 SSPI 的應用程式中需要特定行為。 此設定的建議狀態為: Require NTLMv2 session security, Require 128-bit encryption 。 注意: 這些值相依於 網路安全性:LAN Manager 驗證層級 安全性設定值。機碼路徑:SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Require NTLMv2 session security, Require 128-bit encryption :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\網络安全性:NTLM SSP 型的最低會話安全性(包括安全 RPC) 用戶端合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.11.9 |
= 537395200 (登錄) |
重大 |
網路安全性: NTLM SSP 為主的 (包含安全 RPC) 伺服器的最小工作階段安全性 (CCE-37835-6) |
描述:此原則設定會決定伺服器使用NTLM安全性支援提供者 (SSP) 的應用程式允許哪些行為。 需要驗證服務的應用程式會使用 SSP 介面 (SSPI)。 此設定不會修改驗證順序的運作方式,而是在使用 SSPI 的應用程式中需要特定行為。 此設定的建議狀態為: Require NTLMv2 session security, Require 128-bit encryption 。 注意: 這些值相依於 網路安全性:LAN Manager 驗證層級 安全性設定值。索引鍵路徑:SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:設定計算機設定\Windows 設定\安全性設定\本機原則\安全性選項\網络安全性的原則值:NTLM SSP 型伺服器的最低會話安全性,以要求 NTLMv2 會話安全性和需要 128 位加密(所有選取的選項)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.11.10 |
= 537395200 (登錄) |
重大 |
安全性選項 - 關機
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
關機: 允許不登入就將系統關機 (CCE-36788-8) |
描述:此原則設定可決定使用者未登入時,是否可以關閉計算機。 如果啟用此原則設定,Windows 登入畫面上就會提供關機命令。 建議停用此原則設定,以限制將計算機關機的能力限制為系統上具有認證的使用者。 此設定的建議狀態為: Disabled 。 注意: 在 Server 2008 R2 和舊版中,此設定不會影響遠端桌面 (RDP) / 終端機服務會話 - 它只會影響本機控制台。 不過,Microsoft變更 Windows Server 2012(非 R2)和更新版本的行為,其中如果設定為 [已啟用],則也允許 RDP 會話關閉或重新啟動伺服器。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\關機:允許系統關閉而不需登入 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1 |
不存在或 = 0 (登錄) |
警告 |
關機: 清除虛擬記憶體分頁檔 (AZ-WIN-00181) |
描述:此原則設定會決定系統關閉時是否清除虛擬記憶體頁面檔。 啟用此原則設定時,系統會在每次系統正常關閉時清除系統頁面檔。 如果啟用此安全性設定,在可攜式計算機系統上停用休眠時,休眠檔案 (Hiberfil.sys) 會以零。 關閉和重新啟動電腦需要較長的時間,而且在具有大型分頁檔案的計算機上特別明顯。 索引鍵路徑:System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:設定計算機設定\Windows 設定\安全性設定\本機原則\安全性選項\關機的原則值:清除虛擬記憶體頁面檔。 Disabled 合規性標準對應: |
不存在或 = 0 (登錄) |
重大 |
安全性選項 - 系統密碼編譯
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
用戶必須輸入密碼,才能存取儲存在計算機上的私鑰。 (AZ-WIN-73699) |
描述:如果發現私鑰,攻擊者可以使用密鑰以授權使用者身分進行驗證,並取得網路基礎結構的存取權。 PKI 的基石是用來加密或數位簽署資訊的私鑰。 如果私鑰遭竊,這會導致透過 PKI 取得的驗證和非否認性遭入侵,因為攻擊者可以使用私鑰來數位簽署檔,並假裝是授權的使用者。 數位證書和發行授權單位的持有者都必須保護計算機、儲存裝置,或用來保留私鑰的任何專案。 密鑰路徑:SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\Windows 設定\安全性設定\本機原則\安全性選項\系統密碼編譯:針對儲存在計算機上的使用者密鑰強制執行強密鑰保護 合規性標準對應: |
= 2 (登錄) |
重要 |
Windows Server 必須設定為使用符合 FIPS 規範的演算法進行加密、哈希和簽署。 (AZ-WIN-73701) |
描述:此設定可確保系統使用符合 FIPS 規範的演算法進行加密、哈希和簽署。 符合 FIPS 規範的演算法符合美國政府所建立的特定標準,而且必須是用於所有 OS 加密函式的演算法。 機碼路徑:SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled OS:WS2016、WS2019、WS2022 伺服器類型:網域成員 組策略路徑:計算機設定\Windows 設定\安全性設定\本機原則\安全性選項\系統密碼編譯:使用 FIPS 相容的演算法進行加密、哈希和簽署 合規性標準對應: |
= 1 (登錄) |
重要 |
安全性選項 - 系統物件
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
系統物件:要求不區分大小寫用於非 Windows 子系統 (CCE-37885-1) |
描述:此原則設定會決定是否對所有子系統強制執行不區分大小寫。 Microsoft Win32 子系統不區分大小寫。 不過,核心支援其他子系統的區分大小寫,例如 UNIX 的可攜式操作系統介面 (POSIX)。 因為 Windows 不區分大小寫(但 POSIX 子系統將支援區分大小寫),所以無法強制執行此原則設定,使得 POSIX 子系統的用戶能夠使用混合大小寫來建立與另一個檔案同名的檔案來為其加上卷標。 這種情況可能會封鎖另一位使用一般 Win32 工具的使用者存取這些檔案,因為只有其中一個檔案可供使用。 此設定的建議狀態為: Enabled 。索引鍵路徑:System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\系統物件:非 Windows 子系統需要不區分大小寫 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1 |
不存在或 = 1 (登錄) |
警告 |
系統物件:加強內部系統物件的預設權限 (例如:符號連結) (CCE-37644-2) |
描述:此原則設定會決定對象的預設任意訪問控制清單 (DACL) 強度。 Active Directory 會維護共用系統資源的全域清單,例如 DOS 裝置名稱、Mutex 和信號。 如此一來,物件就可以在進程之間找到並共用。 每種類型的物件都會使用預設 DACL 來建立,以指定誰可以存取物件,以及授與哪些許可權。 此設定的建議狀態為: Enabled 。索引鍵路徑:SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:設定計算機設定\Windows 設定\安全性設定\本機原則\安全性選項\系統對象的原則值:強化內部系統對象的默認許可權(例如符號連結) Enabled 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.3.15.2 |
= 1 (登錄) |
重大 |
安全性選項 - 系統設定
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
系統設定:於軟體限制原則對 Windows 可執行檔使用憑證規則 (AZ-WIN-00155) |
描述:此原則設定會決定在啟用軟體限制原則時處理數字證書,以及使用者或進程嘗試執行擴展名為.exe的軟體。 它會啟用或停用憑證規則(軟體限制原則規則的類型)。 使用軟體限制原則,您可以建立憑證規則,根據與軟體相關聯的數位證書,允許或不允許執行 Authenticode ® 簽署的軟體。 若要讓憑證規則在軟體限制原則中生效,您必須啟用此原則設定。 機碼路徑:Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:計算機設定\Windows 設定\安全性設定\本機原則\安全性選項\系統設定:針對軟體限制原則在 Windows 可執行檔上使用憑證規則 合規性標準對應: |
= 1 (登錄) |
警告 |
安全性選項 - 用戶帳戶控制
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
使用者帳戶控制: 內建的 Administrator 帳戶的管理員核准模式 (CCE-36494-3) |
描述:此原則設定可控制內建系統管理員帳戶的管理員核准模式行為。 此設定的建議狀態為: Enabled 。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\用戶帳戶控制:內建系統管理員帳戶的管理員核准模式 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1 |
= 1 (登錄) |
重大 |
使用者帳戶控制: 允許 UIAccess 應用程式不使用安全桌面來提示提升權限 (CCE-36863-9) |
描述:此原則設定可控制使用者介面輔助功能 (UIAccess 或 UIA) 程式是否可以自動停用標準使用者所使用的提高許可權提示的安全桌面。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\Windows 設定\安全性設定\本機原則\安全性選項\用戶帳戶控制:允許 UIAccess 應用程式提示提高許可權而不使用安全桌面 合規性標準對應: |
= 0 (登錄) |
重大 |
使用者帳戶控制: 在管理員核准模式,系統管理員之提升權限提示的行為 (CCE-37029-6) |
描述:此原則設定可控制系統管理員提高許可權提示的行為。 此設定的建議狀態為: Prompt for consent on the secure desktop 。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Prompt for consent on the secure desktop :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\用戶帳戶控制:系統管理員核准模式中系統管理員提高許可權提示的行為 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2 |
= 2 (登錄) |
重大 |
使用者帳戶控制: 標準使用者之提高權限提示的行為 (CCE-36864-7) |
描述:此原則設定可控制標準使用者提高許可權提示的行為。 此設定的建議狀態為: Automatically deny elevation requests 。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Automatically deny elevation requests: 計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\用戶帳戶控制:標準使用者提高許可權提示的行為 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3 |
= 0 (登錄) |
重大 |
使用者帳戶控制: 偵測應用程式安裝,並提示提升權限 (CCE-36533-8) |
描述:此原則設定可控制計算機應用程式安裝偵測的行為。 此設定的建議狀態為: Enabled 。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\用戶帳戶控制:偵測應用程式安裝並提示提高許可權 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4 |
= 1 (登錄) |
重大 |
使用者帳戶控制:僅針對在安全位置安裝的 UIAccess 應用程式,提高其權限 (CCE-37057-7) |
描述:此原則設定可控制要求以使用者介面輔助功能 (UIAccess) 完整性層級執行的應用程式是否必須位於文件系統的安全位置。 安全位置限制為下列專案:- …\Program Files\ 包括子資料夾 - …\Windows\system32\ - …\Program Files (x86)\ 包括64位版本的Windows 子資料夾注意: 無論此安全性設定的狀態為何,Windows 都會在任何要求以UIAccess完整性層級執行的互動式應用程式上強制執行公鑰基礎結構 (PKI) 簽章檢查。 此設定的建議狀態為: Enabled 。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\用戶帳戶控制:僅提高安裝在安全位置的 UIAccess 應用程式 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5 |
= 1 (登錄) |
重大 |
使用者帳戶控制: 所有系統管理員均以管理員核准模式執行 (CCE-36869-6) |
描述:此原則設定可控制計算機所有用戶帳戶控制 (UAC) 原則設定的行為。 如果您變更此原則設定,就必須重新啟動電腦。 此設定的建議狀態為: Enabled 。 注意: 如果停用此原則設定,資訊安全中心會通知您操作系統的整體安全性已降低。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\用戶帳戶控制:以系統管理員核准模式執行所有系統管理員 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6 |
= 1 (登錄) |
重大 |
使用者帳戶控制: 提示提升權限時切換到安全桌面 (CCE-36866-2) |
描述:此原則設定可控制提高許可權要求提示是否顯示在互動式使用者的桌面或安全桌面上。 此設定的建議狀態為: Enabled 。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\用戶帳戶控制:提示提高許可權時切換至安全桌面 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7 |
= 1 (登錄) |
重大 |
使用者帳戶控制: 將檔案及登錄寫入失敗虛擬化並儲存至每一使用者位置 (CCE-37064-3) |
描述:此原則設定可控制應用程式寫入失敗是否重新導向至定義的登錄和檔案系統位置。 這個原則設定可減輕以系統管理員身分執行的應用程式,並將執行時間應用程式資料寫入: - 、 %ProgramFiles% - 、 %Windir%\system32 %Windir% 或 - HKEY_LOCAL_MACHINE\Software 此設定的建議狀態為: Enabled 。索引鍵路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\用戶帳戶控制:將檔案和登錄寫入失敗虛擬化至每個使用者位置 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8 |
= 1 (登錄) |
重大 |
安全性設定 - 帳戶原則
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
帳戶鎖定閥值 (AZ-WIN-73311) |
描述:此原則設定會決定帳戶鎖定之前失敗的登入嘗試次數。 將此原則設定為 0 不符合基準檢驗,因為這樣做會停用帳戶鎖定閾值。 此設定的建議狀態為: 5 or fewer invalid logon attempt(s), but not 0 。 注意:密碼原則設定(第1.1節)和帳戶鎖定原則設定(第1.2節)必須透過預設網域原則 GPO 套用,才能全域生效網域用戶帳戶作為其預設行為。 如果這些設定是在另一個 GPO 中設定,它們只會影響 接收 GPO 之電腦上的本機 用戶帳戶。 不過,特定網域使用者和/或群組的默認密碼原則和帳戶鎖定原則規則的自定義例外狀況可以使用密碼設定物件(PSO)來定義,這些物件與組策略完全分開,而且最容易使用 Active Directory 管理中心進行設定。機碼路徑:[系統存取]LockoutBadCount OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\帳戶原則\帳戶鎖定原則\帳戶鎖定閾值 合規性標準對應: 名稱平台識別碼 CIS WS2022 1.2.2 CIS WS2019 1.2.2 |
在 1-3 中 (原則) |
重要 |
強制密碼歷程記錄 (CCE-37166-6) |
描述: 此原則設定會決定必須與使用者帳戶相關聯的更新唯一密碼數目,才能重複使用舊密碼。 此原則設定的值必須介於 0 到 24 個密碼之間。 Windows Vista 的預設值為 0 個密碼,但網域中的預設設定為 24 個密碼。 若要維持此原則設定的有效性,請使用 [最低密碼存留期] 設定來防止使用者重複變更其密碼。 此設定的建議狀態為:「24 或更多密碼」。 密鑰路徑:[系統存取]PasswordHistorySize OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 24 or more password(s) :計算機設定\原則\Windows 設定\安全性設定\帳戶原則\密碼原則\強制執行密碼歷程記錄 合規性標準對應: 名稱平台識別碼 CIS WS2019 1.1.1 |
>= 24 (原則) |
重大 |
密碼最長使用期限 (CCE-37167-4) |
描述:此原則設定會定義使用者在密碼到期前可以使用其密碼的時間長度。 此原則設定的值範圍從 0 到 999 天。 如果您將值設定為0,密碼永遠不會過期。 因為攻擊者可以破解密碼,因此您變更密碼的頻率愈少,攻擊者必須使用破解密碼的機會就越少。 不過,設定這個值越低,由於用戶必須變更其密碼或忘記目前的密碼,因此服務台支援通話可能會增加。 這個設定的建議狀態為 60 or fewer days, but not 0 。機碼路徑:[系統存取]MaximumPasswordAge OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 365 or fewer days, but not 0 :計算機設定\原則\Windows 設定\安全性設定\帳戶原則\密碼原則\密碼保留時間上限 合規性標準對應: 名稱平台識別碼 CIS WS2019 1.1.2 |
在 1-70 中 (原則) |
重大 |
密碼最短使用期限 (CCE-37073-4) |
描述:此原則設定會決定您必須使用密碼的天數,才能加以變更。 此原則設定的值範圍介於 1 到 999 天之間。 (您也可以將值設定為 0,以允許立即變更密碼。此設定的預設值為 0 天。 此設定的建議狀態為: 1 or more day(s) 。機碼路徑:[系統存取]MinimumPasswordAge OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 1 or more day(s) :計算機設定\原則\Windows 設定\安全性設定\帳戶原則\密碼原則\密碼原則\最小密碼存留期 合規性標準對應: 名稱平台識別碼 CIS WS2019 1.1.3 |
>= 1 (原則) |
重大 |
密碼長度下限 (CCE-36534-6) |
描述:此原則設定會決定組成用戶帳戶密碼的最少字元數。 有許多關於如何判斷組織最佳密碼長度的不同理論,但也許「傳遞片語」是比「密碼」更好的詞彙。Microsoft Windows 2000 或更新版本中,複雜片語可能相當長,而且可以包含空格。 因此,一個片語,如「我想喝5美元的牛奶沙克」是一個有效的複雜短語:密碼比隨機數位和字母的 8 或 10 個字元字串要強得多,但更容易記住。 用戶必須接受適當選擇和維護密碼的教育,特別是密碼長度。 在企業環境中,[密碼長度下限] 設定的理想值為 14 個字元,不過您應該調整此值以符合貴組織的商務需求。 此設定的建議狀態為: 14 or more character(s) 。機碼路徑:[系統存取]MinimumPasswordLength OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 14 or more character(s) :計算機設定\原則\Windows 設定\安全性設定\帳戶原則\密碼原則\密碼長度下限 合規性標準對應: 名稱平台識別碼 CIS WS2019 1.1.4 |
>= 14 (原則) |
重大 |
密碼必須符合複雜性需求 (CCE-37063-5) |
描述:此原則設定會檢查所有新密碼,以確保它們符合強密碼的基本需求。 啟用此原則時,密碼必須符合下列最低需求: - 不包含使用者帳戶名稱或超過兩個連續字元的使用者完整名稱部分 - 長度至少為六個字元 - 包含下列四個類別中的三個字元: - 英文大寫字元 (A 到 Z) - 英文小寫字元 (a 到 z) - 基底 10 位數 (0 到 9) - 非字母字元 (例如, !, $, #, %) - 任何 Unicode 字元的 catch-all 類別,不落在前四個類別之下。 第五個類別可以是區域特定的。 密碼中的每個額外字元都會以指數方式增加其複雜性。 例如,七個字元、所有小寫字母密碼都有 267 個可能的組合(約 8 x 109 或 80 億個)。 每秒 1,000,000 次嘗試(許多密碼破解公用程式的能力),只需要 133 分鐘的時間才能破解。 具有區分大小寫的七個字元字母密碼有 527 個組合。 沒有標點符號的七個字元區分大小寫英數位元密碼有627個組合。 八個字元的密碼有 268 個 (或 2 x 1011) 可能的組合。 雖然這似乎是一個很大的數位,但每秒嘗試 1,000,000 次嘗試,只需要 59 小時才能嘗試所有可能的密碼。 請記住,這些時候會大幅增加使用 ALT 字元和其他特殊鍵盤字元的密碼,例如 “!” 或 “@”。 正確使用密碼設定有助於難以掛接暴力密碼破解攻擊。 此設定的建議狀態為: Enabled 。密鑰路徑:[系統存取]PasswordComplexity OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\帳戶原則\密碼原則\密碼必須符合複雜性需求 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93459 STIG WS2016 V-73323 CIS WS2019 1.1.5 CIS WS2022 1.1.5 |
= 1 (原則) |
重大 |
以下時數後重設帳戶鎖定計數器 (AZ-WIN-73309) |
描述:此原則設定會決定帳戶鎖定閾值重設為零之前的時間長度。 此原則設定的預設值為 [未定義]。 如果已定義帳戶鎖定閾值,這個重設時間必須小於或等於 [帳戶鎖定持續時間] 設定的值。 如果您將此原則設定保留為預設值,或將值設定為太長的間隔,您的環境可能會容易受到 DoS 攻擊。 攻擊者可能會惡意地對組織中的所有用戶執行一些失敗的登入嘗試,這會鎖定其帳戶。 如果未決定任何原則來重設帳戶鎖定,則這是系統管理員的手動工作。 相反地,如果設定此原則設定的合理時間值,使用者將會鎖定一段設定的期間,直到所有帳戶自動解除鎖定為止。 此設定的建議狀態為: 15 or more minute(s) 。 注意:密碼原則設定(第1.1節)和帳戶鎖定原則設定(第1.2節)必須透過預設網域原則 GPO 套用,才能全域生效網域用戶帳戶作為其預設行為。 如果這些設定是在另一個 GPO 中設定,它們只會影響 接收 GPO 之電腦上的本機 用戶帳戶。 不過,特定網域使用者和/或群組的默認密碼原則和帳戶鎖定原則規則的自定義例外狀況可以使用密碼設定物件(PSO)來定義,這些物件與組策略完全分開,而且最容易使用 Active Directory 管理中心進行設定。機碼路徑:[系統存取]ResetLockoutCount OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\帳戶原則\帳戶鎖定原則\重設帳戶鎖定計數器之後 合規性標準對應: 名稱平台識別碼 CIS WS2022 1.2.3 CIS WS2019 1.2.3 |
>= 15 (原則) |
重要 |
使用可還原的加密來存放密碼 (CCE-36286-3) |
描述:此原則設定會決定操作系統是否以使用可逆加密的方式儲存密碼,以提供應用程式通訊協定的支援,這些通訊協定需要瞭解用戶的密碼以供驗證之用。 以可逆加密儲存的密碼基本上與純文字版本的密碼相同。 此設定的建議狀態為: Disabled 。機碼路徑:[系統存取]ClearTextPassword OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :使用可逆加密的計算機設定\原則\Windows 設定\安全性設定\帳戶原則\密碼原則\儲存密碼 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7 |
= 0 (原則) |
重大 |
安全性設定 - Windows 防火牆
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
Windows 防火牆:網域:允許單播回應 (AZ-WIN-00088) |
描述: 如果您需要控制此電腦是否接收其傳出多播或廣播訊息的單播回應,這個選項會很有用。 針對私人和網域配置檔,建議將此設定設為 『Yes』,這會將登錄值設定為 0。 機碼路徑:Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:設定計算機設定\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆的原則值\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性(此連結將會在右窗格中)\網域配置檔索引卷標\設定(選取 [自定義]\單播回應、允許單播回應 合規性標準對應: |
= 0 (登錄) |
警告 |
Windows 防火牆:網域:防火牆狀態 (CCE-36062-8) |
描述:選取 [開啟] [建議] 讓具有進階安全性的 Windows 防火牆使用此配置檔的設定來篩選網路流量。 如果您選取 [關閉],具有進階安全性的 Windows 防火牆將不會使用此配置檔的任何防火牆規則或連線安全性規則。 密鑰路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 On (recommended) :計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\網域配置檔\防火牆狀態 合規性標準對應: 名稱平台識別碼 CIS WS2019 9.1.1 |
= 1 (登錄) |
重大 |
Windows 防火牆:網域:輸入連線 (AZ-WIN-202252) |
描述:此設定會決定不符合輸入防火牆規則的輸入連線行為。 此設定的建議狀態為: Block (default) 。索引鍵路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\網域配置檔\輸入連線 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.1.2 CIS WS2019 9.1.2 |
= 1 (登錄) |
重大 |
Windows 防火牆:網域:記錄:記錄捨棄的封包 (AZ-WIN-202226) |
描述:基於任何原因,使用此選項可記錄具有進階安全性的 Windows 防火牆捨棄輸入封包時。 記錄檔會記錄封包遭到捨棄的原因和時機。 在記錄的動作數據行中尋找具有單字 DROP 的專案。 此設定的建議狀態為: Yes 。機碼路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\網域配置檔\記錄自定義\記錄捨棄的封包 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.1.7 CIS WS2019 9.1.7 |
= 1 (登錄) |
資訊 |
Windows 防火牆:網域:記錄:記錄成功連線 (AZ-WIN-202227) |
描述:當具有進階安全性的 Windows 防火牆允許輸入連線時,請使用此選項來記錄。 記錄檔會記錄連線形成的原因和時機。 在記錄的動作數據行中尋找具有單字 ALLOW 的專案。 此設定的建議狀態為: Yes 。機碼路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\網域配置檔\記錄自定義\記錄成功連線 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.1.8 CIS WS2019 9.1.8 |
= 1 (登錄) |
警告 |
Windows 防火牆:網域:記錄:名稱 (AZ-WIN-202224) |
描述:使用此選項可指定 Windows 防火牆將寫入其記錄資訊之檔案的路徑和名稱。 此設定的建議狀態為: %SystemRoot%\System32\logfiles\firewall\domainfw.log 。機碼路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\網域配置檔\記錄自定義\名稱 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.1.5 CIS WS2019 9.1.5 |
= %SystemRoot%\System32\logfiles\firewall\domainfw.log (登錄) |
資訊 |
Windows 防火牆:網域:記錄:大小限制 (KB) (AZ-WIN-202225) |
描述:使用此選項可指定 Windows 防火牆將寫入其記錄資訊之檔案的大小限制。 此設定的建議狀態為: 16,384 KB or greater 。索引鍵路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\網域配置檔\記錄自定義\大小限制 (KB) 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.1.6 CIS WS2019 9.1.6 |
>= 16384 (登錄) |
警告 |
Windows 防火牆:網域:輸出連線 (CCE-36146-9) |
描述:此設定會決定不符合輸出防火牆規則的輸出連線行為。 在 Windows Vista 中,預設行為是允許連線,除非有封鎖連線的防火牆規則。 機碼路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Allow (default) :計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\網域配置檔\輸出連線 合規性標準對應: 名稱平台識別碼 CIS WS2019 9.1.3 |
= 0 (登錄) |
重大 |
Windows 防火牆:網域:設定:套用本機聯機安全性規則 (CCE-38040-2) |
描述: 此設定可控制是否允許本機系統管理員建立與組策略所設定防火牆規則一起套用的本機連線規則。 此設定的建議狀態為 『Yes』,這會將登錄值設定為 1。 機碼路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:設定計算機設定\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆的原則值\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性(此連結將會位於右窗格中)\網域配置檔索引卷標\設定(選取 [自定義]\規則合併,套用本機連線安全性規則 合規性標準對應: 名稱平台識別碼 CIS WS2019 9.3.6 |
= 1 (登錄) |
重大 |
Windows 防火牆:網域:設定:套用本機防火牆規則 (CCE-37860-4) |
描述: 此設定可控制是否允許本機系統管理員建立與組策略所設定防火牆規則一起套用的本機防火牆規則。 此設定的建議狀態為 [是],這會將登錄值設定為 1。 索引鍵路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆內容(此連結將在右窗格中)\網域配置檔索引卷標\設定(選取 [自定義]\規則合併,套用本機防火牆規則 合規性標準對應: 名稱平台識別碼 CIS WS2019 9.3.5 |
不存在或 = 1 (登錄) |
重大 |
Windows 防火牆:網域:設定:顯示通知 (CCE-38041-0) |
描述: 選取此選項時,當程式遭到封鎖而無法接收輸入連線時,不會向用戶顯示任何通知。 在伺服器環境中,彈出視窗沒有用處,因為使用者未登入、不需要彈出視窗,而且可能會為系統管理員增加混淆。 將此原則設定設定為 [否],這會將登錄值設定為 1。 當程式遭到封鎖而無法接收輸入連線時,Windows 防火牆將不會顯示通知。 索引鍵路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 No :計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\網域配置檔\設定自定義\顯示通知 合規性標準對應: 名稱平台識別碼 CIS WS2019 9.1.4 |
= 1 (登錄) |
警告 |
Windows 防火牆:私人:允許單播回應 (AZ-WIN-00089) |
描述: 如果您需要控制此電腦是否接收其傳出多播或廣播訊息的單播回應,這個選項會很有用。 針對私人和網域配置檔,建議將此設定設為 『Yes』,這會將登錄值設定為 0。 機碼路徑:Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆內容(此連結將會位於右窗格中)\私人配置檔索引卷標\設定(選取 [自定義]\單播回應、允許單播回應 合規性標準對應: |
= 0 (登錄) |
警告 |
Windows 防火牆:私人:防火牆狀態 (CCE-38239-0) |
描述:選取 [開啟] [建議] 讓具有進階安全性的 Windows 防火牆使用此配置檔的設定來篩選網路流量。 如果您選取 [關閉],具有進階安全性的 Windows 防火牆將不會使用此配置檔的任何防火牆規則或連線安全性規則。 密鑰路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 On (recommended) :計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\私人配置檔\防火牆狀態 合規性標準對應: 名稱平台識別碼 CIS WS2019 9.2.1 |
= 1 (登錄) |
重大 |
Windows 防火牆:私人:輸入連線 (AZ-WIN-202228) |
描述:此設定會決定不符合輸入防火牆規則的輸入連線行為。 此設定的建議狀態為: Block (default) 。密鑰路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\私人配置檔\輸入聯機 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.2.2 CIS WS2019 9.2.2 |
= 1 (登錄) |
重大 |
Windows 防火牆:私人:記錄:記錄捨棄的封包 (AZ-WIN-202231) |
描述:基於任何原因,使用此選項可記錄具有進階安全性的 Windows 防火牆捨棄輸入封包時。 記錄檔會記錄封包遭到捨棄的原因和時機。 在記錄的動作數據行中尋找具有單字 DROP 的專案。 此設定的建議狀態為: Yes 。密鑰路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\私人配置檔\記錄自定義\記錄捨棄的封包 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.2.7 CIS WS2019 9.2.7 |
= 1 (登錄) |
資訊 |
Windows 防火牆:私人:記錄:記錄成功連線 (AZ-WIN-202232) |
描述:當具有進階安全性的 Windows 防火牆允許輸入連線時,請使用此選項來記錄。 記錄檔會記錄連線形成的原因和時機。 在記錄的動作數據行中尋找具有單字 ALLOW 的專案。 此設定的建議狀態為: Yes 。密鑰路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\私人配置檔\記錄自定義\記錄成功連線 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.2.8 CIS WS2019 9.2.8 |
= 1 (登錄) |
警告 |
Windows 防火牆:私人:記錄:名稱 (AZ-WIN-202229) |
描述:使用此選項可指定 Windows 防火牆將寫入其記錄資訊之檔案的路徑和名稱。 此設定的建議狀態為: %SystemRoot%\System32\logfiles\firewall\privatefw.log 。機碼路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\私人配置檔\記錄自定義\名稱 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.2.5 CIS WS2019 9.2.5 |
= %SystemRoot%\System32\logfiles\firewall\privatefw.log (登錄) |
資訊 |
Windows 防火牆:私人:記錄:大小限制 (KB) (AZ-WIN-202230) |
描述:使用此選項可指定 Windows 防火牆將寫入其記錄資訊之檔案的大小限制。 此設定的建議狀態為: 16,384 KB or greater 。密鑰路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\私人配置檔\記錄自定義\大小限制 (KB) 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.2.6 CIS WS2019 9.2.6 |
>= 16384 (登錄) |
警告 |
Windows 防火牆:私人:輸出連線 (CCE-38332-3) |
描述:此設定會決定不符合輸出防火牆規則的輸出連線行為。 默認行為是允許連線,除非有封鎖連線的防火牆規則。 重要 如果您將輸出連線設定為 [封鎖],然後使用 GPO 部署防火牆原則,除非建立並部署可讓組策略運作的輸出規則,否則接收 GPO 設定的計算機將無法接收後續的組策略更新。 核心網路的預先定義規則包括可讓組策略運作的輸出規則。 請確定這些輸出規則為作用中,並在部署之前徹底測試防火牆配置檔。 密鑰路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Allow (default) :計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\私人配置檔\輸出連線 合規性標準對應: 名稱平台識別碼 CIS WS2019 9.2.3 |
= 0 (登錄) |
重大 |
Windows 防火牆:私人:設定:套用本機連線安全性規則 (CCE-36063-6) |
描述: 此設定可控制是否允許本機系統管理員建立與組策略所設定防火牆規則一起套用的本機連線規則。 此設定的建議狀態為 『Yes』,這會將登錄值設定為 1。 密鑰路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性(此連結將會位於右窗格中)\私人配置檔索引卷標\設定(選取 [自定義]\規則合併,套用本機聯機安全性規則 合規性標準對應: |
= 1 (登錄) |
重大 |
Windows 防火牆:私人:設定:套用本機防火牆規則 (CCE-37438-9) |
描述: 此設定可控制是否允許本機系統管理員建立與組策略所設定防火牆規則一起套用的本機防火牆規則。 此設定的建議狀態為 [是],這會將登錄值設定為 1。 密鑰路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:設定計算機設定\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆的原則值\Windows 防火牆屬性(此連結將會位於右窗格中)\私人配置檔索引卷標\設定(選取 [自定義]\規則合併,套用本機防火牆規則 合規性標準對應: |
不存在或 = 1 (登錄) |
重大 |
Windows 防火牆:私人:設定:顯示通知 (CCE-37621-0) |
描述: 選取此選項時,當程式遭到封鎖而無法接收輸入連線時,不會向用戶顯示任何通知。 在伺服器環境中,彈出視窗沒有用處,因為使用者未登入、不需要彈出視窗,而且可能會為系統管理員增加混淆。 將此原則設定設定為 [否],這會將登錄值設定為 1。 當程式遭到封鎖而無法接收輸入連線時,Windows 防火牆將不會顯示通知。 密鑰路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 No :計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\私人配置檔\設定自定義\顯示通知 合規性標準對應: 名稱平台識別碼 CIS WS2019 9.2.4 |
= 1 (登錄) |
警告 |
Windows 防火牆:公用:允許單播回應 (AZ-WIN-00090) |
描述: 如果您需要控制此電腦是否接收其傳出多播或廣播訊息的單播回應,這個選項會很有用。 這可以藉由將此設定的狀態變更為 『No』,這會將登錄值設定為 1 來完成。 索引鍵路徑:Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:設定計算機設定\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆的原則值\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性(此連結將會位於右窗格中)\公用配置檔索引卷標\設定(選取 [自定義]\單播回應、允許單播回應 合規性標準對應: |
= 1 (登錄) |
警告 |
Windows 防火牆:公用:防火牆狀態 (CCE-37862-0) |
描述:選取 [開啟] [建議] 讓具有進階安全性的 Windows 防火牆使用此配置檔的設定來篩選網路流量。 如果您選取 [關閉],具有進階安全性的 Windows 防火牆將不會使用此配置檔的任何防火牆規則或連線安全性規則。 索引鍵路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 On (recommended) :計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\公用配置檔\防火牆狀態 合規性標準對應: 名稱平台識別碼 CIS WS2019 9.3.1 |
= 1 (登錄) |
重大 |
Windows 防火牆:公用:輸入連線 (AZ-WIN-202234) |
描述:此設定會決定不符合輸入防火牆規則的輸入連線行為。 此設定的建議狀態為: Block (default) 。索引鍵路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\公用配置檔\輸入連線 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.3.2 CIS WS2019 9.3.2 |
= 1 (登錄) |
重大 |
Windows 防火牆:公用:記錄:記錄捨棄的封包 (AZ-WIN-202237) |
描述:基於任何原因,使用此選項可記錄具有進階安全性的 Windows 防火牆捨棄輸入封包時。 記錄檔會記錄封包遭到捨棄的原因和時機。 在記錄的動作數據行中尋找具有單字 DROP 的專案。 此設定的建議狀態為: Yes 。機碼路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\公用配置檔\記錄自定義\記錄捨棄的封包 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.3.9 CIS WS2019 9.3.9 |
= 1 (登錄) |
資訊 |
Windows 防火牆:公用:記錄:記錄成功連線 (AZ-WIN-202233) |
描述:當具有進階安全性的 Windows 防火牆允許輸入連線時,請使用此選項來記錄。 記錄檔會記錄連線形成的原因和時機。 在記錄的動作數據行中尋找具有單字 ALLOW 的專案。 此設定的建議狀態為: Yes 。機碼路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\公用配置檔\記錄自定義\記錄成功連線 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.3.10 CIS WS2019 9.3.10 |
= 1 (登錄) |
警告 |
Windows 防火牆:公用:記錄:名稱 (AZ-WIN-202235) |
描述:使用此選項可指定 Windows 防火牆將寫入其記錄資訊之檔案的路徑和名稱。 此設定的建議狀態為: %SystemRoot%\System32\logfiles\firewall\publicfw.log 。索引鍵路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\公用配置檔\記錄自定義\名稱 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.3.7 CIS WS2019 9.3.7 |
= %SystemRoot%\System32\logfiles\firewall\publicfw.log (登錄) |
資訊 |
Windows 防火牆:公用:記錄:大小限制(KB) (AZ-WIN-202236) |
描述:使用此選項可指定 Windows 防火牆將寫入其記錄資訊之檔案的大小限制。 此設定的建議狀態為: 16,384 KB or greater 。索引鍵路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\公用配置檔\記錄自定義\大小限制 (KB) 合規性標準對應: 名稱平台識別碼 CIS WS2022 9.3.8 CIS WS2019 9.3.8 |
>= 16384 (登錄) |
資訊 |
Windows 防火牆:公用:輸出連線 (CCE-37434-8) |
描述:此設定會決定不符合輸出防火牆規則的輸出連線行為。 默認行為是允許連線,除非有封鎖連線的防火牆規則。 重要 如果您將輸出連線設定為 [封鎖],然後使用 GPO 部署防火牆原則,除非建立並部署可讓組策略運作的輸出規則,否則接收 GPO 設定的計算機將無法接收後續的組策略更新。 核心網路的預先定義規則包括可讓組策略運作的輸出規則。 請確定這些輸出規則為作用中,並在部署之前徹底測試防火牆配置檔。 索引鍵路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Allow (default) :計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\公用配置檔\輸出連線 合規性標準對應: 名稱平台識別碼 CIS WS2019 9.3.3 |
= 0 (登錄) |
重大 |
Windows 防火牆:公用:設定:套用本機聯機安全性規則 (CCE-36268-1) |
描述: 此設定可控制是否允許本機系統管理員建立與組策略所設定防火牆規則一起套用的本機連線規則。 此設定的建議狀態為 『Yes』,這會將登錄值設定為 1。 索引鍵路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 No :計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\公用配置檔\設定自定義\套用本機連線安全性規則 合規性標準對應: 名稱平台識別碼 CIS WS2019 9.3.6 |
= 1 (登錄) |
重大 |
Windows 防火牆:公用:設定:套用本機防火牆規則 (CCE-37861-2) |
描述: 此設定可控制是否允許本機系統管理員建立與組策略所設定防火牆規則一起套用的本機防火牆規則。 此設定的建議狀態為 [是],這會將登錄值設定為 1。 密鑰路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 No :計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\公用配置檔\設定自定義\套用本機防火牆規則 合規性標準對應: 名稱平台識別碼 CIS WS2019 9.3.5 |
不存在或 = 1 (登錄) |
重大 |
Windows 防火牆:公用:設定:顯示通知 (CCE-38043-6) |
描述: 選取此選項時,當程式遭到封鎖而無法接收輸入連線時,不會向用戶顯示任何通知。 在伺服器環境中,彈出視窗沒有用處,因為使用者未登入、不需要彈出視窗,而且可能會為系統管理員增加混淆。 將此原則設定設定為 [否],這會將登錄值設定為 1。 當程式遭到封鎖而無法接收輸入連線時,Windows 防火牆將不會顯示通知。 索引鍵路徑:SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 No :計算機設定\原則\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆\具有進階安全性的 Windows 防火牆\Windows 防火牆屬性\公用配置檔\設定自定義\顯示通知 合規性標準對應: 名稱平台識別碼 CIS WS2019 9.3.4 |
= 1 (登錄) |
警告 |
系統審核策略 - 帳戶登入
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
稽核認證驗證 (CCE-37741-6) |
描述: 這個子類別會報告針對使用者帳戶登入要求所提交的認證驗證測試結果。 這些事件發生在認證授權的計算機上。 針對網域帳戶,網域控制站是經授權的,而針對本機帳戶,本機電腦是經授權的。 在網域環境中,大部分的帳戶登入事件都會發生在網域帳戶授權的域控制器安全性記錄中。 不過,使用本機帳戶來登入時,這些事件可能會發生在組織中的其他電腦上。 此子類別的事件包括: - 4774:已對應帳戶以進行登入。 - 4775:無法對應帳戶進行登入。 - 4776:域控制器嘗試驗證帳戶的認證。 - 4777:域控制器無法驗證帳戶的認證。 此設定的建議狀態為:「成功與失敗」。 密鑰路徑: {0CCE923F-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Success and Failure :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\帳戶登入\稽核認證驗證 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1 |
= 成功和失敗 (審計) |
重大 |
稽核 Kerberos 驗證服務 (AZ-WIN-00004) |
描述:此子類別會報告 Kerberos 驗證 TGT 要求之後所產生的事件結果。 Kerberos 是分散式驗證服務,可讓代表使用者執行的用戶端向伺服器證明其身分識別,而不需透過網路傳送數據。 這有助於減輕攻擊者或伺服器模擬用戶的風險。 - 4768:已要求 Kerberos 驗證票證 (TGT)。 - 4771:Kerberos 預先驗證失敗。 - 4772:Kerberos 驗證票證要求失敗。 此設定的建議狀態為: Success and Failure 。密鑰路徑: {0CCE9242-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\帳戶登入\稽核 Kerberos 驗證服務 合規性標準對應: 名稱平台識別碼 CIS WS2022 17.1.2 CIS WS2019 17.1.2 |
>= 成功和失敗 (審計) |
重大 |
系統審核策略 - 帳戶管理
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
稽核通訊群組管理 (CCE-36265-7) |
描述:此子類別會報告通訊群組管理的每個事件,例如當通訊群組建立、變更或刪除,或成員新增至通訊群組或從通訊群組中移除時。 如果您啟用此稽核原則設定,系統管理員可以追蹤事件,以偵測惡意、意外和授權的組帳戶建立。 此子類別的事件包括: - 4744:已建立安全性停用的本地組。 - 4745:已變更安全性停用的本地組。 - 4746:成員已新增至已停用安全性的本地組。 - 4747:成員已從已停用安全性的本地組中移除。 - 4748:已刪除安全性停用的本地組。 - 4749:已建立安全性停用的全域群組。 - 4750:已變更安全性停用的全域群組。 - 4751:成員已新增至已停用安全性的全域群組。 - 4752:成員已從安全性停用的全域群組中移除。 - 4753:已刪除安全性停用的全域群組。 - 4759:已建立安全性停用的通用群組。 - 4760:已變更停用安全性的通用群組。 - 4761:成員已新增至已停用安全性的通用群組。 - 4762:成員已從已停用安全性的通用群組中移除。 - 4763:已刪除已停用安全性的通用群組。 此設定的建議狀態為: Success 。密鑰路徑: {0CCE9238-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\帳戶管理\稽核通訊組管理 合規性標準對應: 名稱平台識別碼 CIS WS2022 17.2.3 CIS WS2019 17.2.3 |
>= 成功 (審計) |
重大 |
稽核其他帳戶管理事件 (CCE-37855-4) |
描述:此子類別會報告其他帳戶管理事件。 此子類別的事件包括: — 4782:已存取帳戶的密碼哈希。 — 4793:已呼叫密碼原則檢查 API。 如需這項設定的最新資訊,請參閱Microsoft知識庫文章 密鑰路徑: {0CCE923A-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑以包含 Success :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\帳戶管理\稽核其他帳戶管理事件 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.2.4 |
>= 成功 (審計) |
重大 |
稽核安全性群組管理 (CCE-38034-5) |
描述:此子類別會報告安全組管理的每個事件,例如當安全組建立、變更或刪除或成員加入或從安全組移除時。 如果您啟用此稽核原則設定,系統管理員可以追蹤事件,以偵測安全組帳戶的惡意、意外和授權建立。 此子類別的事件包括: - 4727:已建立啟用安全性的全域群組。 - 4728:成員已新增至已啟用安全性的全域群組。 - 4729:成員已從啟用安全性的全域群組中移除。 - 4730:已刪除已啟用安全性的全域群組。 - 4731:已建立已啟用安全性的本地組。 - 4732:成員已新增至已啟用安全性的本地組。 - 4733:成員已從已啟用安全性的本地組中移除。 - 4734:已刪除已啟用安全性的本地組。 - 4735:已啟用安全性的本地組已變更。 - 4737:已啟用安全性的全域群組已變更。 - 4754:已建立啟用安全性的通用群組。 - 4755:已啟用安全性的通用群組已變更。 - 4756:成員已新增至已啟用安全性的通用群組。 - 4757:成員已從已啟用安全性的通用群組中移除。 - 4758:已刪除已啟用安全性的通用群組。 - 4764:群組的類型已變更。 此設定的建議狀態為: Success and Failure 。密鑰路徑: {0CCE9237-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑以包含 Success :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\帳戶管理\稽核安全組管理 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.2.5 |
>= 成功 (審計) |
重大 |
稽核使用者帳戶管理 (CCE-37856-2) |
描述:此子類別會報告用戶帳戶管理的每個事件,例如建立、變更或刪除使用者帳戶、重新命名、停用或啟用使用者帳戶,或設定或變更密碼。 如果您啟用此稽核原則設定,系統管理員可以追蹤事件,以偵測用戶帳戶的惡意、意外和授權的建立。 此子類別的事件包括: - 4720:已建立使用者帳戶。 - 4722:已啟用用戶帳戶。 - 4723:嘗試變更帳戶的密碼。 - 4724:嘗試重設帳戶的密碼。 - 4725:用戶帳戶已停用。 - 4726:已刪除用戶帳戶。 - 4738:用戶帳戶已變更。 - 4740:用戶帳戶遭到鎖定。- 4765:SID 歷程記錄已新增至帳戶。 - 4766:嘗試將 SID 歷程記錄新增至帳戶失敗。 - 4767:用戶帳戶已解除鎖定。 - 4780:ACL 是在屬於系統管理員群組成員的帳戶上設定的。 - 4781:帳戶的名稱已變更:- 4794:嘗試設定目錄服務還原模式。 - 5376:已備份認證管理員認證。 - 5377:認證管理員認證已從備份還原。 此設定的建議狀態為: Success and Failure 。密鑰路徑: {0CCE9235-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Success and Failure :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\帳戶管理\稽核用戶帳戶管理 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6 |
= 成功和失敗 (審計) |
重大 |
系統審核策略 - 詳細追蹤
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
稽核 PNP 活動 (AZ-WIN-00182) |
描述:此原則設定可讓您在隨插即用偵測到外部裝置時進行稽核。 此設定的建議狀態為: Success 。 注意: 需要 Windows 10、Server 2016 或更新版本的作業系統,才能在組策略中存取和設定此值。密鑰路徑: {0CCE9248-69AE-11D9-BED3-505054503030} OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\Windows 設定\安全性設定\本機原則\安全性選項\稽核:強制審核策略子類別設定 (Windows Vista 或更新版本) 覆寫審核策略類別設定 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.3.1 CIS WS2022 17.3.1 |
>= 成功 (審計) |
重大 |
稽核程序建立 (CCE-36059-4) |
描述:此子類別會報告建立進程,以及建立程式或用戶的名稱。 此子類別的事件包括: - 4688:已建立新的進程。 - 4696:已指派主要令牌來處理。 如需這項設定的最新資訊,請參閱Microsoft知識庫文章947226。 此設定的建議狀態為: Success 。密鑰路徑: {0CCE922B-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑以包含 Success :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\詳細追蹤\稽核程式建立 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2 |
>= 成功 (審計) |
重大 |
系統審核策略 - DS 存取
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
稽核目錄服務存取 (CCE-37433-0) |
描述:此子類別會報告存取 AD DS 對象的時間。 只有具有 SCL 的物件才會產生稽核事件,而且只有在以符合其 SACL 的方式存取它們時。 這些事件類似於舊版 Windows Server 中的目錄服務存取事件。 此子類別僅適用於域控制器。 這個子類別的事件包括: - 4662 :已在 物件上執行作業。 此設定的建議狀態為: Failure 。密鑰路徑: {0CCE923B-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\DS 存取\稽核目錄服務存取 合規性標準對應: 名稱平台識別碼 CIS WS2022 17.4.1 CIS WS2019 17.4.1 |
>= 失敗 (審計) |
重大 |
稽核目錄服務變更 (CCE-37616-0) |
描述:此子類別會報告 Active Directory 網域服務 中對象的變更(AD DS)。 所報告的變更類型為在物件上執行的建立、修改、移動及取消刪除作業。 適當時,DS 變更稽核會指出已變更物件的舊值和新值。 只有具有 SCL 的物件才會產生稽核事件,而且只有在以符合其 SACL 的方式存取它們時。 某些物件和屬性不會因為架構中對象類別上的設定而產生稽核事件。 此子類別僅適用於域控制器。 此子類別的事件包括: - 5136 :已修改目錄服務物件。 - 5137 :已建立目錄服務物件。 - 5138 :未刪除目錄服務物件。 - 5139 :已移動目錄服務物件。 此設定的建議狀態為: Success 。密鑰路徑: {0CCE923C-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\DS 存取\稽核目錄服務變更 合規性標準對應: 名稱平台識別碼 CIS WS2022 17.4.2 CIS WS2019 17.4.2 |
>= 成功 (審計) |
重大 |
稽核目錄服務複寫 (AZ-WIN-00093) |
描述:此子類別會報告兩個域控制器之間的複寫開始和結束的時間。 此子類別的事件包括: - 4932:Active Directory 命名內容的複本同步處理已經開始。 – 4933:Active Directory 命名內容的複本同步處理已結束。 如需有關此設定的最新資訊,請參閱Microsoft知識庫文章 密鑰路徑: {0CCE923D-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\DS 存取\稽核目錄服務複寫 合規性標準對應: |
>= 沒有稽核 (審計) |
重大 |
系統審核策略 - 登入註銷
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
稽核帳戶鎖定 (CCE-37133-6) |
描述:此子類別會報告用戶帳戶因登入嘗試太多而遭到鎖定。 此子類別的事件包括: — 4625:帳戶無法登入。 如需有關此設定的最新資訊,請參閱Microsoft知識庫文章「Windows Vista 和 Windows Server 2008 中的安全性事件描述」。 https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 密鑰路徑: {0CCE9217-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑以包含 Failure :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\登入/註銷\稽核帳戶鎖定 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.5.1 |
>= 失敗 (審計) |
重大 |
稽核群組成員資格 (AZ-WIN-00026) |
描述:稽核群組成員資格可讓您在用戶端計算機上列舉成員資格時稽核群組成員資格。 此原則可讓您稽核使用者登入令牌中的群組成員資格資訊。 此子類別中的事件會在建立登入工作階段的電腦上產生。 針對互動式登錄,會在使用者登入的計算機上產生安全性稽核事件。 針對網路登入,例如存取網路上的共享資料夾,會在裝載資源的計算機上產生安全性稽核事件。 您也必須啟用稽核登入子類別。 如果群組成員資格信息無法放入單一安全性稽核事件中,就會產生多個事件。 稽核的事件包括: - 4627(S):群組成員資格資訊。 密鑰路徑: {0CCE9249-69AE-11D9-BED3-505054503030} OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑以包含 Success :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\登入/註銷\稽核群組成員資格 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.5.2 |
>= 成功 (審計) |
重大 |
稽核登出 (CCE-38237-4) |
描述: 此子類別會報告使用者何時從系統註銷。 這些事件會發生在存取的電腦上。 針對互動式登錄,這些事件的產生會在登入的計算機上發生。 如果發生網路登入以存取共用,則會在裝載所存取資源的電腦上產生這些事件。 如果您將此設定設定設為 [無稽核],則很難或無法判斷哪些使用者已存取或嘗試存取組織計算機。 此子類別的事件包括: - 4634:已註銷帳戶。 - 4647:使用者起始的註銷。 此設定的建議狀態為:『Success』。 密鑰路徑: {0CCE9216-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑以包含 Success :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\登入/註銷\稽核註銷 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3 |
>= 成功 (審計) |
重大 |
稽核登入 (CCE-38036-0) |
描述: 此子類別會在使用者嘗試登入系統時進行報告。 這些事件會發生在存取的電腦上。 針對互動式登錄,這些事件的產生會在登入的計算機上發生。 如果發生網路登入以存取共用,則會在裝載所存取資源的電腦上產生這些事件。 如果您將此設定設定設為 [無稽核],則很難或無法判斷哪些使用者已存取或嘗試存取組織計算機。 此子類別的事件包括: - 4624:已成功登入帳戶。 - 4625:帳戶無法登入。 - 4648:使用明確認證嘗試登入。 - 4675:已篩選 SID。 此設定的建議狀態為:「成功與失敗」。 密鑰路徑: {0CCE9215-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Success and Failure :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\登入/註銷 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4 |
= 成功和失敗 (審計) |
重大 |
稽核其他登入/登出事件 (CCE-36322-6) |
描述:此子類別會報告其他登入/註銷相關事件,例如終端機服務會話中斷連線和重新連線、使用 RunAs 在不同的帳戶下執行進程,以及鎖定和解除鎖定工作站。 此子類別的事件包括: — 4649:偵測到重新執行攻擊。 — 4778:會話已重新連線到視窗月臺。 — 4779:工作階段已與視窗站中斷連線。 — 4800:工作站已鎖定。 — 4801:工作站已解除鎖定。 — 4802:已叫用屏幕保護程式。 — 4803:螢幕保護程式已關閉。 - 5378:原則不允許要求的認證委派。 — 5632:已提出向無線網路進行驗證的要求。 — 5633:已提出向有線網路進行驗證的要求。 如需這項設定的最新資訊,請參閱Microsoft知識庫文章 密鑰路徑: {0CCE921C-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Success and Failure :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\登入/註銷\稽核其他登入/註銷事件 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.5.5 |
= 成功和失敗 (審計) |
重大 |
稽核特殊登入 (CCE-36266-5) |
描述:此子類別會報告何時使用特殊登入。 特殊登入是具有系統管理員對等許可權的登入,可用來將程式提升至較高層級。 此子類別的事件包括: - 4964 :特殊群組已指派給新的登入。 此設定的建議狀態為: Success 。密鑰路徑: {0CCE921B-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑以包含 Success :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\登入/註銷\稽核特殊登入 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6 |
>= 成功 (審計) |
重大 |
系統審核策略 - 物件存取
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
稽核詳細檔案共用 (AZ-WIN-00100) |
描述:此子類別可讓您稽核嘗試存取共享資料夾上的檔案和資料夾。 此子類別的事件包括: - 5145:已檢查網路共享物件,以查看用戶端是否可以獲得所需的存取權。 此設定的建議狀態是包含: Failure 密鑰路徑: {0CCE9244-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\物件存取\稽核詳細檔案共用 合規性標準對應: 名稱平台識別碼 CIS WS2022 17.6.1 CIS WS2019 17.6.1 |
>= 失敗 (審計) |
重大 |
稽核檔案共享 (AZ-WIN-00102) |
描述:此原則設定可讓您稽核存取共用資料夾的嘗試。 此設定的建議狀態為: Success and Failure 。 注意: 共用資料夾沒有系統存取控制清單(SCL)。 如果啟用此原則設定,則會稽核系統上所有共享資料夾的存取權。密鑰路徑: {0CCE9224-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\物件存取\稽核檔案共用 合規性標準對應: 名稱平台識別碼 CIS WS2022 17.6.2 CIS WS2019 17.6.2 |
= 成功和失敗 (審計) |
重大 |
稽核其他物件存取事件 (AZ-WIN-00113) |
描述:此子類別會報告其他物件存取相關事件,例如工作排程器工作和 COM+ 物件。 此子類別的事件包括: — 4671:應用程式嘗試透過 TBS 存取封鎖的序數。 — 4691:要求間接存取物件。 — 4698:已建立排程的工作。 — 4699:已刪除排程的工作。 — 4700:已啟用排程的工作。 — 4701:已停用排程的工作。 — 4702:已更新排程的工作。 — 5888:已修改 COM+ 目錄中的物件。 — 5889:物件已從 COM+ 目錄刪除。 — 5890:物件已新增至 COM+ 目錄。 如需這項設定的最新資訊,請參閱Microsoft知識庫文章 密鑰路徑: {0CCE9227-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Success and Failure :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\物件存取\稽核其他物件存取事件 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.6.3 |
= 成功和失敗 (審計) |
重大 |
稽核抽取式存放裝置 (CCE-37617-8) |
描述:此原則設定可讓您稽核用戶嘗試存取抽取式存儲設備上的文件系統物件。 安全性稽核事件只會針對要求的所有存取類型產生。 如果您設定此原則設定,則每次帳戶存取卸除式記憶體上的文件系統物件時,都會產生稽核事件。 成功稽核會記錄成功嘗試和失敗稽核記錄失敗嘗試。 如果您未設定此原則設定,當帳戶存取卸除式記憶體上的文件系統物件時,不會產生任何稽核事件。 此設定的建議狀態為: Success and Failure 。 注意: 需要 Windows 8、Server 2012(非 R2)或更高版本的操作系統,才能在組策略中存取和設定此值。密鑰路徑: {0CCE9245-69AE-11D9-BED3-505054503030} OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Success and Failure :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核原則\物件存取\稽核抽取式存儲設備 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4 |
= 成功和失敗 (審計) |
重大 |
系統審核策略 - 原則變更
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
稽核驗證原則變更 (CCE-38327-3) |
描述:此子類別會報告驗證原則中的變更。 此子類別的事件包括: — 4706:已建立網域的新信任。 — 4707:已移除網域的信任。 — 4713:Kerberos 原則已變更。 — 4716:已修改受信任的網域資訊。 — 4717:系統安全性存取權已授與帳戶。 — 4718:已從帳戶中移除系統安全性存取。 — 4739:網域原則已變更。 — 4864:偵測到命名空間衝突。 — 4865:已新增受信任的樹系信息專案。 — 4866:已移除受信任的樹系信息專案。 — 4867:已修改受信任的樹系信息專案。 如需這項設定的最新資訊,請參閱Microsoft知識庫文章 密鑰路徑: {0CCE9230-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑以包含 Success :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\原則變更\稽核驗證原則變更 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.7.2 |
>= 成功 (審計) |
重大 |
稽核授權原則變更 (CCE-36320-0) |
描述:此子類別會報告授權原則中的變更。 此子類別的事件包括: - 4704:已指派用戶權力。 - 4705:已移除用戶權力。 - 4706:已對網域建立新的信任。 - 4707:已移除網域的信任。 - 4714:已變更加密的數據復原原則。 此設定的建議狀態為: Success 。密鑰路徑: {0CCE9231-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\原則變更\稽核授權原則變更 合規性標準對應: 名稱平台識別碼 CIS WS2022 17.7.3 CIS WS2019 17.7.3 |
>= 成功 (審計) |
重大 |
稽核 MPSSVC 規則層級原則變更 (AZ-WIN-00111) |
描述:此子類別會報告Microsoft保護服務所使用的原則規則變更(MPSSVC.exe)。 Windows 防火牆和 Microsoft OneCare 會使用此服務。 此子類別的事件包括: — 4944:Windows 防火牆啟動時,下列原則為使用中。 — 4945:Windows 防火牆啟動時列出規則。 — 4946:已對 Windows 防火牆例外列表進行變更。 已新增規則。 — 4947:已對 Windows 防火牆例外列表進行變更。 已修改規則。 — 4948:已對 Windows 防火牆例外列表進行變更。 已刪除規則。 — 4949:Windows 防火牆設定已還原至預設值。 — 4950:Windows 防火牆設定已變更。 — 4951:因為 Windows 防火牆無法辨識其主要版本號碼,因此已忽略規則。 — 4952:因為 Windows 防火牆無法辨識其次要版本號碼,因此忽略了規則的部分。 會執行規則的其他部分。 — 4953:Windows 防火牆已忽略規則,因為它無法剖析規則。 — 4954:Windows 防火牆組策略設定已變更。 已套用新的設定。 — 4956:Windows 防火牆已變更使用中配置檔。 — 4957:Windows 防火牆未套用下列規則:- 4958:Windows 防火牆未套用下列規則,因為此計算機上未設定之項目的規則:請參閱Microsoft知識庫文章 密鑰路徑: {0CCE9232-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Success and Failure :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\原則變更\稽核 MPSSVC 規則層級原則變更 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.7.4 |
= 成功和失敗 (審計) |
重大 |
稽核其他原則變更事件 (AZ-WIN-00114) |
描述:此子類別包含 EFS Data Recovery 代理程式原則變更、Windows 篩選平台篩選中的變更、本地組原則設定的安全性原則設定更新狀態、中央存取原則變更,以及密碼編譯新一代作業的詳細疑難解答事件。 - 5063:已嘗試密碼編譯提供者作業。 - 5064:已嘗試密碼編譯內容作業。 - 5065:嘗試密碼編譯內容修改。 - 5066:已嘗試密碼編譯函式作業。 - 5067:已嘗試修改密碼編譯函式。 - 5068:已嘗試密碼編譯函式提供者作業。 - 5069:已嘗試密碼編譯函式屬性作業。 - 5070:已嘗試修改密碼編譯函式屬性。 - 6145:在組策略對象中處理安全策略時發生一或多個錯誤。 此設定的建議狀態為: Failure 。密鑰路徑: {0CCE9234-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\原則變更\稽核其他原則變更事件 合規性標準對應: 名稱平台識別碼 CIS WS2022 17.7.5 CIS WS2019 17.7.5 |
>= 失敗 (審計) |
重大 |
稽核原則變更 (CCE-38028-7) |
描述:此子類別會報告稽核原則中的變更,包括 SACL 變更。 此子類別的事件包括: — 4715:物件上的審核策略 (SACL) 已變更。 — 4719:系統審核策略已變更。 — 4902:已建立個別使用者稽核原則數據表。 — 4904:嘗試註冊安全性事件來源。 — 4905:嘗試取消註冊安全性事件來源。 — 4906:CrashOnAuditFail 值已變更。 — 4907:物件上的稽核設定已變更。 — 4908:特殊群組登入數據表已修改。 — 4912:已變更每個用戶審核策略。 如需這項設定的最新資訊,請參閱Microsoft知識庫文章 密鑰路徑: {0CCE922F-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\原則變更\稽核審核策略變更 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.7.1 |
>= 成功 (審計) |
重大 |
系統審核策略 - 許可權使用
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
稽核機密特殊權限使用 (英文) (CCE-36267-3) |
描述:此子類別會報告用戶帳戶或服務使用敏感性許可權時。 敏感性許可權包括下列使用者權力:作為操作系統、備份文件與目錄的一部分、建立令牌物件、偵錯程式、讓計算機和用戶帳戶受到委派信任、產生安全性稽核、在驗證之後模擬用戶端、載入和卸除設備驅動器、管理稽核和安全性記錄、修改韌體環境值、 取代進程層級令牌、還原檔案和目錄,以及取得檔案或其他對象的擁有權。 稽核此子類別將會建立大量的事件。 此子類別的事件包括: — 4672:指派給新登入的特殊許可權。 — 4673:已呼叫特殊許可權服務。 — 4674:在特殊許可權對象上嘗試作業。 如需有關此設定的最新資訊,請參閱Microsoft知識庫文章「Windows Vista 和 Windows Server 2008 中的安全性事件描述」。 https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 密鑰路徑: {0CCE9228-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Success and Failure :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\許可權使用\稽核敏感性許可權使用 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.8.1 |
= 成功和失敗 (審計) |
重大 |
系統審核策略 - 系統
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
稽核 IPsec 驅動程式 (CCE-37853-9) |
描述:此子類別會報告因特網通訊協定安全性 (IPsec) 驅動程式的活動。 此子類別的事件包括: - 4960:IPsec 捨棄了失敗完整性檢查的輸入封包。 如果此問題持續發生,可能表示網路問題或封包正在傳輸至這部電腦時遭到修改。 確認從遠端電腦傳送的封包與這部電腦所接收的封包相同。 此錯誤也可能表示與其他 IPsec 實作的互通性問題。 - 4961:IPsec 捨棄了無法重新執行檢查的輸入封包。 如果此問題持續發生,可能表示此電腦的重新執行攻擊。 - 4962:IPsec 捨棄了無法重新執行檢查的輸入封包。 輸入封包的序號太低,無法確保它不是重新執行。 - 4963:IPsec 已捨棄應已保護的輸入純文本封包。 這通常是因為遠端電腦變更其 IPsec 原則而不通知這部電腦。 這也可能是詐騙攻擊嘗試。 - 4965:IPsec 從具有不正確安全性參數索引 (SPI) 的遠端電腦收到封包。 這通常是因為損毀封包的硬體故障而造成。 如果這些錯誤持續發生,請確認從遠端電腦傳送的封包與這部電腦所接收的封包相同。 此錯誤也可能表示與其他 IPsec 實作的互通性問題。 在此情況下,如果連線不受阻礙,則可以忽略這些事件。 - 5478:IPsec 服務已成功啟動。 - 5479:IPsec 服務已成功關閉。 IPsec 服務的關閉可能會使電腦面臨更大的網路攻擊風險,或讓電腦面臨潛在的安全性風險。 - 5480:IPsec 服務無法取得電腦上網路介面的完整清單。 這會造成潛在的安全性風險,因為某些網路介面可能無法取得所套用 IPsec 篩選所提供的保護。 使用 IP 安全性監視器嵌入式管理單元來診斷問題。 - 5483:IPsec 服務無法初始化 RPC 伺服器。 IPsec 服務無法啟動。 - 5484:IPsec 服務發生嚴重失敗,且已關閉。 IPsec 服務的關閉可能會使電腦面臨更大的網路攻擊風險,或讓電腦面臨潛在的安全性風險。 - 5485:IPsec 服務無法在網路介面的隨插即用事件上處理某些 IPsec 篩選器。 這會造成潛在的安全性風險,因為某些網路介面可能無法取得所套用 IPsec 篩選所提供的保護。 使用 IP 安全性監視器嵌入式管理單元來診斷問題。 此設定的建議狀態為: Success and Failure 。密鑰路徑: {0CCE9213-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\系統\稽核 IPsec 驅動程式 合規性標準對應: 名稱平台識別碼 CIS WS2022 17.9.1 CIS WS2019 17.9.1 |
>= 成功和失敗 (審計) |
重大 |
稽核其他系統事件 (CCE-38030-3) |
描述:此子類別會報告其他系統事件。 此子類別的事件包括: - 5024 :Windows 防火牆服務已成功啟動。 - 5025 :Windows 防火牆服務已停止。 - 5027 :Windows 防火牆服務無法從本機記憶體擷取安全策略。 服務會繼續執行目前的原則。 - 5028 :Windows 防火牆服務無法剖析新的安全策略。 服務會繼續目前執行的原則。 - 5029:Windows 防火牆服務無法初始化驅動程式。 服務會繼續執行目前的原則。 - 5030:Windows 防火牆服務無法啟動。 - 5032:Windows 防火牆無法通知使用者,它封鎖應用程式接受網路上的連入連線。 - 5033 :Windows 防火牆驅動程式已成功啟動。 - 5034 :Windows 防火牆驅動程式已停止。 - 5035 :Windows 防火牆驅動程式無法啟動。 - 5037 :Windows 防火牆驅動程序偵測到重大運行時間錯誤。 正在結束。 - 5058:金鑰檔案作業。 - 5059:金鑰移轉作業。 此設定的建議狀態為: Success and Failure 。密鑰路徑: {0CCE9214-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\系統\稽核其他系統事件 合規性標準對應: 名稱平台識別碼 CIS WS2022 17.9.2 CIS WS2019 17.9.2 |
= 成功和失敗 (審計) |
重大 |
稽核安全性狀態變更 (CCE-38114-5) |
描述:此子類別會報告系統的安全性狀態變更,例如安全性子系統啟動和停止時。 此子類別的事件包括: — 4608:Windows 正在啟動。 — 4609:Windows 正在關閉。 — 4616:系統時間已變更。 — 4621:系統管理員從 CrashOnAuditFail 復原系統。 現在不允許非系統管理員的使用者登入。 某些可稽核的活動可能尚未記錄。 如需有關此設定的最新資訊,請參閱Microsoft知識庫文章「Windows Vista 和 Windows Server 2008 中的安全性事件描述」。 https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 密鑰路徑: {0CCE9210-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑以包含 Success :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核策略\系統\稽核安全性狀態變更 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.9.3 |
>= 成功 (審計) |
重大 |
稽核安全性系統延伸項目 (CCE-36144-4) |
描述:此子類別會報告載入延伸模組程序代碼,例如安全性子系統的驗證套件。 此子類別的事件包括: — 4610:本機安全性授權單位已載入驗證套件。 — 4611:已向當地安全機構註冊受信任的登入程式。 — 4614:安全性帳戶管理員已載入通知套件。 — 4622:本機安全機構已載入安全性套件。 — 4697:系統中已安裝服務。 如需這項設定的最新資訊,請參閱Microsoft知識庫文章 密鑰路徑: {0CCE9211-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑以包含 Success :計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\稽核策略\系統\稽核安全性系統延伸模組 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.9.4 |
>= 成功 (審計) |
重大 |
稽核系統完整性 (CCE-37132-8) |
描述:此子類別會報告安全性子系統完整性違規的情況。 此子類別的事件包括: — 4612:為稽核訊息佇列配置的內部資源已用盡,導致部分稽核遺失。 — 4615:LPC 埠的使用無效。 — 4618:已發生受監視的安全性事件模式。 — 4816 :RPC 在解密傳入訊息時偵測到完整性違規。 — 5038:程式代碼完整性判斷檔案的影像哈希無效。 檔案可能會因為未經授權的修改而損毀,或不正確雜湊可能表示潛在的磁碟裝置錯誤。 — 5056:已執行密碼編譯自我測試。 — 5057:密碼編譯基本類型作業失敗。 — 5060:驗證作業失敗。 — 5061:密碼編譯作業。 — 5062:已執行內核模式密碼編譯自我測試。 如需有關此設定的最新資訊,請參閱Microsoft知識庫文章「Windows Vista 和 Windows Server 2008 中的安全性事件描述」。 https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd 密鑰路徑: {0CCE9212-69AE-11D9-BED3-505054503030} OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 [成功與失敗]: 計算機設定\原則\Windows 設定\安全性設定\進階審核策略設定\審核策略\系統\稽核系統完整性 合規性標準對應: 名稱平台識別碼 CIS WS2019 17.9.5 |
= 成功和失敗 (審計) |
重大 |
使用者權限指派
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
存取認證管理員作為信任的呼叫者 (CCE-37056-9) |
描述:在備份和還原期間,認證管理員會使用此安全性設定。 沒有帳戶應該具有此用戶權力,因為它只會指派給 Winlogon。 如果將此用戶權力指派給其他實體,則使用者的已儲存認證可能會遭到入侵。 此設定的建議狀態為: No One 。密鑰路徑:[許可權]SeTrustedCredManAccessPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 No One :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\存取認證管理員做為受信任的呼叫者 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1 |
= 沒有人 (原則) |
警告 |
從網路存取這台電腦 (CCE-35818-4) |
描述: 此原則設定可讓網路上的其他用戶連線到計算機,而且需要各種網路通訊協定,包括伺服器消息塊(SMB)型通訊協定、NetBIOS、通用因特網文件系統(CIFS)和元件物件模型加號 (COM+)。 - 層級 1 - 域控制器。 此設定的建議狀態為:「系統管理員、已驗證的用戶、企業域控制器」。 - 層級 1 - 成員伺服器。 此設定的建議狀態為:「系統管理員、已驗證的使用者」。 索引鍵路徑:[許可權許可權]SeNetworkLogonRight OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑: 計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\從網络存取這部計算機 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3 |
<= 系統管理員、已驗證的使用者 (原則) |
重大 |
當成作業系統的一部分 (CCE-36876-1) |
描述:此原則設定可讓程序假設任何使用者的身分識別,進而存取使用者獲授權存取的資源。 此設定的建議狀態為: No One 。密鑰路徑:[許可權]SeTcbPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 No One :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\作為操作系統的一部分 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4 |
= 沒有人 (原則) |
重大 |
允許本機登入 (CCE-37659-0) |
描述:此原則設定可決定哪些使用者可以以互動方式登入您環境中的計算機。 在用戶端電腦鍵盤上按 CTRL+ALT+DEL 鍵順序所起始的登入需要此用戶權力。 嘗試透過終端機服務或 IIS 登入的使用者也需要此用戶權力。 根據預設,來賓帳戶會獲指派此用戶權力。 雖然預設會停用此帳戶,但Microsoft建議您透過組策略啟用此設定。 不過,此用戶權力通常應限制為系統管理員和使用者群組。 如果您的組織要求他們具備這項功能,請將此用戶權力指派給備份操作員群組。 在 SCM 中設定用戶權力時,請輸入以逗號分隔的帳戶清單。 帳戶可以是本機或位於Active Directory中,可以是群組、用戶或電腦。 索引鍵路徑:[許可權]SeInteractiveLogonRight OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑: 計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\允許本機登入 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.2.7 |
= Administrators (原則) |
重大 |
允許透過遠端桌面服務登入 (CCE-37072-6) |
描述: 此原則設定會決定哪些使用者或群組有權以終端機服務用戶端身分登入。 遠端桌面使用者需要此用戶權力。 如果您的組織使用遠端協助做為其技術支援中心策略的一部分,請建立群組,並透過組策略指派此使用者。 如果貴組織中的技術支援中心未使用遠端協助,請僅將此用戶權力指派給 Administrators 群組,或使用受限制的群組功能,以確保沒有任何使用者帳戶是遠端桌面使用者群組的一部分。 將此用戶權力限製為Administrators群組,也可能是遠端桌面使用者群組,以防止垃圾使用者透過遠端協助功能取得網路上電腦的存取權。 - 層級 1 - 域控制器。 此設定的建議狀態為:『Administrators』。 - 層級 1 - 成員伺服器。 此設定的建議狀態為:「系統管理員、遠端桌面使用者」。 注意:具有遠端桌面連線代理人角色服務角色服務的成員伺服器將需要此建議的特殊例外狀況,以允許將此用戶權力授與「已驗證的使用者」群組。 附注 2: 上述清單被視為允許清單,這表示上述主體不需要存在,才能通過這項建議的評估。 索引鍵路徑:[許可權許可權]SeRemoteInteractiveLogonRight OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑: 計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\允許透過遠端桌面服務登入 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9 |
<= 系統管理員、遠端桌面使用者 (原則) |
重大 |
備份檔案和目錄 (CCE-35912-5) |
描述:此原則設定可讓使用者規避備份系統的檔案和目錄許可權。 只有在應用程式 (例如 NTBACKUP) 嘗試透過 NTFS 檔案系統備份應用程式開發介面 (API) 存取檔案或目錄時,才會啟用此用戶權力。 否則,會套用指派的檔案和目錄許可權。 此設定的建議狀態為: Administrators 。索引鍵路徑:[許可權]SeBackupPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators 。計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\備份檔案和目錄 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10 |
<= 系統管理員、備份操作員、伺服器操作員 (原則) |
重大 |
略過周遊檢查 (AZ-WIN-00184) |
描述:此原則設定可讓在NTFS檔系統或登錄中瀏覽物件路徑時,沒有周遊資料夾訪問許可權的使用者通過資料夾。 此使用者權力不允許使用者列出資料夾的內容。 在 SCM 中設定用戶權力時,請輸入以逗號分隔的帳戶清單。 帳戶可以是本機或位於Active Directory中,可以是群組、用戶或電腦。 索引鍵路徑:[許可權]SeChangeNotifyPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:設定計算機設定\Windows 設定\安全性設定\本機原則\用戶權力指派\略過周遊檢查的原則值,只包含下列帳戶或群組: Administrators, Authenticated Users, Backup Operators, Local Service, Network Service 合規性標準對應: |
<= 系統管理員、已驗證的用戶、備份操作員、本地服務、網路服務 (原則) |
重大 |
變更系統時間 (CCE-37452-0) |
描述:此原則設定可決定哪些使用者和群組可以變更您環境中計算機內部時鐘的時間和日期。 獲指派此用戶權力的使用者可能會影響事件記錄檔的外觀。 當計算機的時間設定變更時,記錄的事件會反映新的時間,而不是事件發生的實際時間。 在 SCM 中設定用戶權力時,請輸入以逗號分隔的帳戶清單。 帳戶可以是本機或位於Active Directory中,可以是群組、用戶或電腦。 注意: 本機計算機與環境中域控制器的時間不一致,可能會導致 Kerberos 驗證通訊協議發生問題,這可能會導致使用者無法登入網域,或在登入網域資源之後取得存取網域資源的授權。 此外,如果系統時間未與域控制器同步,組策略就會套用至用戶端計算機時發生問題。 此設定的建議狀態為: Administrators, LOCAL SERVICE 。索引鍵路徑:[Privilege Rights]SeSystemtimePrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators, LOCAL SERVICE :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\變更系統時間 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.2.11 CIS WS2022 2.2.11 |
<= Administrators、Server Operators、LOCAL SERVICE (原則) |
重大 |
變更時區 (CCE-37700-2) |
描述:此設定決定哪些使用者可以變更計算機的時區。 這種能力對計算機沒有任何重大危險,對移動工作者可能很有用。 此設定的建議狀態為: Administrators, LOCAL SERVICE 。索引鍵路徑:[許可權]SeTimeZonePrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators, LOCAL SERVICE :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\變更時區 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.2.12 CIS WS2022 2.2.12 |
<= Administrators,LOCAL SERVICE (原則) |
重大 |
建立分頁檔 (CCE-35821-8) |
描述:此原則設定可讓使用者變更頁面檔的大小。 藉由讓頁面檔非常大或極小,攻擊者可以輕鬆地影響遭入侵計算機的效能。 此設定的建議狀態為: Administrators 。索引鍵路徑:[許可權許可權]SeCreatePagefilePrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators :計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\建立頁面檔 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13 |
= Administrators (原則) |
重大 |
建立權杖物件 (CCE-36861-3) |
描述:此原則設定可讓程式建立存取令牌,以提供較高的許可權來存取敏感數據。 此設定的建議狀態為: No One 。密鑰路徑:[許可權]SeCreateTokenPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 No One :計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\建立令牌物件 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14 |
= 沒有人 (原則) |
警告 |
建立全域物件 (CCE-37453-8) |
描述:此原則設定可決定使用者是否可以建立可供所有會話使用的全域物件。 如果使用者沒有此用戶權力,使用者仍然可以建立專屬於自己會話的物件。 可以建立全域對象的使用者可能會影響在其他用戶會話下執行的進程。 這項功能可能會導致各種問題,例如應用程式失敗或數據損毀。 此設定的建議狀態為: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE 。 注意:安裝Microsoft SQL Server 及其選擇性的「Integration Services」元件的成員伺服器將需要此建議的特殊例外狀況,才能將其他 SQL 產生的專案授與此用戶權力。密鑰路徑:[許可權]SeCreateGlobalPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE :計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\建立全域物件 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93059 STIG WS2016 V-73749 CIS WS2019 2.2.15 CIS WS2022 2.2.15 |
<= Administrators、SERVICE、LOCAL SERVICE、NETWORK SERVICE (原則) |
警告 |
建立永久共用物件 (CCE-36532-0) |
描述:此使用者權力適用於擴充物件命名空間的核心模式元件。 不過,在核心模式中執行的元件原本就具有此用戶的權利。 因此,通常不需要特別指派此用戶權力。 此設定的建議狀態為: No One 。密鑰路徑:[許可權]SeCreatePermanentPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 No One :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\建立永久共享物件 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16 |
= 沒有人 (原則) |
警告 |
建立符號連結 (CCE-35823-4) |
描述: 此原則設定會決定哪些使用者可以建立符號連結。 在 Windows Vista 中,現有的 NTFS 檔案系統物件,例如檔案和資料夾,可以參考稱為符號連結的新檔案系統物件類型來存取。 符號連結是指向另一個文件系統物件的指標(類似於快捷方式或.lnk檔案),可以是檔案、資料夾、快捷方式或其他符號連結。 快捷方式與符號連結之間的差異在於快捷方式只能從 Windows 殼層內運作。 對於其他程式和應用程式,快捷方式只是另一個檔案,而使用符號連結,快捷方式的概念會實作為NTFS檔案系統的功能。 符號連結可能會在未設計為使用這些連結的應用程式中公開安全性弱點。 基於這個理由,建立符號連結的許可權應該只指派給信任的使用者。 根據預設,只有系統管理員可以建立符號連結。 - 層級 1 - 域控制器。 此設定的建議狀態為:『Administrators』。 - 層級 1 - 成員伺服器。此設定的建議狀態為:『Administrators』 和 (安裝 Hyper-V 角色時) 'NT VIRTUAL MACHINE\虛擬機器'。 索引鍵路徑:[許可權]SeCreateSymbolicLinkPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要實作建議的組態狀態,請設定下列UI路徑: 計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\建立符號連結 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18 |
<= 系統管理員、NT 虛擬機\虛擬機器 (原則) |
重大 |
偵錯程式 (AZ-WIN-73755) |
描述:此原則設定會決定哪些用戶帳戶有權將調試程式附加至任何進程或核心,以提供敏感性和重要操作系統元件的完整存取權。 正在偵錯自己應用程式的開發人員不需要指派此用戶權力;不過,正在偵錯新系統元件的開發人員將需要它。 此設定的建議狀態為: Administrators 。 注意: 此用戶權力會被視為稽核的「敏感性許可權」。索引鍵路徑:[許可權許可權]SeDebugPrivilege OS:WS2016、WS2019 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\偵錯程式 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.2.19 CIS WS2019 2.2.19 |
= Administrators (原則) |
重大 |
拒絕從網路存取這部電腦 (CCE-37954-5) |
描述: 此原則設定會禁止使用者從網路連線到計算機,這可讓使用者從遠端存取並可能修改數據。 在高安全性環境中,遠端使用者不需要存取計算機上的數據。 相反地,應該使用網路伺服器來完成檔案共用。 - 層級 1 - 域控制器。 此設定的建議狀態為:「來賓、本機帳戶」。 - 層級 1 - 成員伺服器。 此設定的建議狀態為:「來賓、本機帳戶和 Administrators 群組的成員」。 注意: 如上所述設定獨立(未加入網域)伺服器,可能會導致無法從遠端管理伺服器。 注意: 如上所述設定成員伺服器或獨立伺服器可能會對建立本機服務帳戶的應用程式造成負面影響,並將它放在Administrators群組中,在此情況下,您必須將應用程式轉換成使用網域裝載的服務帳戶,或從此用戶權力指派中移除 Administrators 群組的本機帳戶和成員。 盡可能使用網域裝載的服務帳戶,強烈建議您不使用此規則的例外狀況。 密鑰路徑:[許可權]SeDenyNetworkLogonRight OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑: 計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\拒絕從網络存取這部計算機 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.2.21 |
>= 來賓 (原則) |
重大 |
拒絕以批次工作登入 (CCE-36923-1) |
描述:此原則設定會決定哪些帳戶無法以批次作業登入計算機。 批次作業不是批次 (.bat) 檔案,而是批次佇列設施。 使用工作排程器來排程作業的帳戶需要此用戶權力。 拒絕以批次作業用戶權力登入會覆寫以批次作業用戶權力登入,這可用來允許帳戶排程耗用過多系統資源的作業。 這類發生可能會導致 DoS 條件。 無法將此用戶權力指派給建議的帳戶,可能是安全性風險。 此設定的建議狀態為: Guests 。機碼路徑:[許可權]SeDenyBatchLogonRight OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑以包含 Guests :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\拒絕以批次作業登入 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22 |
>= 來賓 (原則) |
重大 |
拒絕以服務方式登入 (CCE-36877-9) |
描述:此安全性設定會決定哪些服務帳戶無法將進程註冊為服務。 如果帳戶受限於這兩個原則,此原則設定會取代 登入即服務 原則設定。 此設定的建議狀態為: Guests 。 注意: 此安全性設定不適用於系統、本地服務或網路服務帳戶。索引鍵路徑:[許可權許可權]SeDenyServiceLogonRight OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑以包含 Guests :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\拒絕以服務身分登入 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23 |
>= 來賓 (原則) |
重大 |
拒絕本機登入 (CCE-37146-8) |
描述:此安全性設定會決定哪些用戶無法在計算機上登入。 如果帳戶受限於這兩個原則,此原則設定會取代 [允許在本機 登入] 原則設定。 重要事項: 如果您將此安全策略套用至 [所有人] 群組,則沒有人可以在本機登入。 此設定的建議狀態為: Guests 。索引鍵路徑:[許可權]SeDenyInteractiveLogonRight OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑以包含 Guests :計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\拒絕本機登入 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.2.24 CIS WS2022 2.2.24 |
>= 來賓 (原則) |
重大 |
拒絕透過遠端桌面服務登入 (CCE-36867-0) |
描述:此原則設定可決定使用者是否可以以終端機服務用戶端身分登入。 將基準成員伺服器加入網域環境之後,就不需要使用本機帳戶從網路存取伺服器。 網域帳戶可以存取伺服器以進行管理和用戶處理。 此設定的建議狀態為: Guests, Local account 。 注意: 如上所述設定獨立(未加入網域)伺服器,可能會導致無法從遠端管理伺服器。索引鍵路徑:[許可權]SeDenyRemoteInteractiveLogonRight OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑: 計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\拒絕透過遠端桌面服務登入 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.2.26 |
>= 來賓 (原則) |
重大 |
讓電腦和使用者帳戶受信任以進行委派 (CCE-36860-5) |
描述: 此原則設定可讓使用者變更 Active Directory 中計算機物件的 [委派信任] 設定。 濫用此許可權可能會允許未經授權的用戶模擬網路上的其他使用者。 - 層級 1 - 域控制器。 此設定的建議狀態為:『Administrators』 - 層級 1 - 成員伺服器。 此設定的建議狀態為:「沒有人」。 索引鍵路徑:[許可權]SeEnableDelegationPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑: 計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\讓計算機和使用者帳戶能夠信任委派 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.2.28 |
= 沒有人 (原則) |
重大 |
強制從遠端系統關機 (CCE-37877-8) |
描述:此原則設定可讓使用者從網路上的遠端位置關閉 Windows Vista 型電腦。 任何獲指派此用戶權力的人都可能導致拒絕服務 (DoS) 條件,這會使計算機無法供服務使用者要求使用。 因此,建議只將高度信任的系統管理員指派給此用戶權力。 此設定的建議狀態為: Administrators 。密鑰路徑:[許可權]SeRemoteShutdownPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\強制從遠端系統關機 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.2.29 |
= Administrators (原則) |
重大 |
產生安全性稽核 (CCE-37639-2) |
描述:此原則設定會決定哪些用戶或進程可以在安全性記錄中產生稽核記錄。 此設定的建議狀態為: LOCAL SERVICE, NETWORK SERVICE 。 注意:具有 Web 伺服器角色服務之 Web 伺服器角色的成員伺服器將需要此建議的特殊例外狀況,以允許授與此使用者權力的 IIS 應用程式集區。 附註 #2:保留 Active Directory 同盟服務 角色的成員伺服器將需要這項建議的特殊例外狀況,以允許 NT SERVICE\ADFSSrv 和 NT SERVICE\DRS 服務以及相關聯的 Active Directory 同盟服務 服務帳戶獲得此用戶權力。密鑰路徑:[許可權]SeAuditPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 LOCAL SERVICE, NETWORK SERVICE :計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\產生安全性稽核 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30 |
<= 本地服務、網路服務、IIS APPPOOL\DefaultAppPool (原則) |
重大 |
增加程序工作集 (AZ-WIN-00185) |
描述:此許可權會決定哪些用戶帳戶可以增加或減少進程的工作集大小。 進程的工作集是實體 RAM 記憶體中進程目前可見的記憶體分頁集。 這些頁面是常駐頁面,可供應用程式使用,而不會觸發頁面錯誤。 最小和最大工作集大小會影響進程的虛擬記憶體分頁行為。 在 SCM 中設定用戶權力時,請輸入以逗號分隔的帳戶清單。 帳戶可以是本機或位於Active Directory中,可以是群組、用戶或電腦。 密鑰路徑:[許可權]SeIncreaseWorkingSetPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:計算機設定\Windows 設定\安全性設定\本機原則\用戶權力指派\增加進程工作集 合規性標準對應: |
<= Administrators、Local Service (原則) |
警告 |
增加排程優先順序 (CCE-38326-5) |
描述:此原則設定可決定使用者是否可以增加進程的基底優先順序類別。 (在優先順序類別中增加相對優先順序不是特殊許可權作業。操作系統所提供的系統管理工具不需要此用戶權力,但軟體開發工具可能需要此許可權。 此設定的建議狀態為: Administrators 。密鑰路徑:[許可權]SeIncreaseBasePriorityPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators, Window Manager\Window Manager Group :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\增加排程優先順序 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33 |
= Administrators (原則) |
警告 |
載入和卸載裝置驅動程式 (CCE-36318-4) |
描述:此原則設定可讓使用者在系統上動態載入新的設備驅動器。 攻擊者可能會使用這項功能來安裝看似裝置驅動程式的惡意代碼。 需要此用戶權力,使用者才能在 Windows Vista 中新增本機印表機或印表機驅動程式。 此設定的建議狀態為: Administrators 。密鑰路徑:[許可權許可權]SeLoadDriverPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\載入和卸除設備驅動器 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34 |
<= Administrators,Print Operators (原則) |
警告 |
鎖定記憶體中的分頁 (CCE-36495-0) |
描述:此原則設定可讓進程將數據保留在物理記憶體中,以防止系統將數據分頁至磁碟上的虛擬記憶體。 如果指派此用戶權力,系統效能可能會大幅降低。 此設定的建議狀態為: No One 。索引鍵路徑:[許可權]SeLockMemoryPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 No One :計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\鎖定記憶體中的頁面 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35 |
= 沒有人 (原則) |
警告 |
管理稽核和安全性記錄檔 (CCE-35906-7) |
描述: 此原則設定可決定哪些使用者可以變更檔案和目錄的稽核選項,並清除安全性記錄。 對於執行 Microsoft Exchange Server 的環境,『Exchange Server』 群組必須擁有域控制器的這個許可權才能正常運作。 為此,授與「Exchange Server」群組的 DC 會符合此效能評定。 如果環境不使用 Microsoft Exchange Server,則此許可權應僅限於 DC 上的「系統管理員」。 - 層級 1 - 域控制器。 此設定的建議狀態為:『Administrators and (當 Exchange 在環境中執行時) 'Exchange Server'。 - 層級 1 - 成員伺服器。 此設定的建議狀態為:'Administrators' 索引鍵路徑:[許可權許可權]SeSecurityPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請設定下列 UI 路徑: 計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\管理稽核和安全性記錄 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38 |
= Administrators (原則) |
重大 |
修改物件標籤 (CCE-36054-5) |
描述:此許可權會決定哪些用戶帳戶可以修改物件的完整性標籤,例如其他使用者所擁有的檔案、登錄機碼或進程。 在用戶帳戶下執行的進程可以將該使用者所擁有的物件標籤修改為較低層級,而不需要此許可權。 此設定的建議狀態為: No One 。索引鍵路徑:[許可權許可權]SeRelabelPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 No One :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\修改物件卷標 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.2.39 CIS WS2022 2.2.39 |
= 沒有人 (原則) |
警告 |
修改韌體環境值 (CCE-38113-7) |
描述:此原則設定可讓使用者設定影響硬體設定的系統範圍環境變數。 這項資訊通常會儲存在 「上次已知良好設定」中。 修改這些值,並可能導致導致拒絕服務狀況的硬體失敗。 此設定的建議狀態為: Administrators 。密鑰路徑:[Privilege Rights]SeSystemEnvironmentPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\修改韌體環境值 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40 |
= Administrators (原則) |
警告 |
執行磁碟區維護工作 (CCE-36143-6) |
描述:此原則設定可讓使用者管理系統的磁碟區或磁碟組態,這可讓使用者刪除磁碟區並造成數據遺失,以及拒絕服務狀況。 此設定的建議狀態為: Administrators 。索引鍵路徑:[許可權]SeManageVolumePrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators :計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\執行磁盘區維護工作 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41 |
= Administrators (原則) |
警告 |
設定檔單一程序 (CCE-37131-0) |
描述:此原則設定決定哪些使用者可以使用工具來監視非系統進程的效能。 一般而言,您不需要設定此用戶權力,即可使用 Microsoft Management Console (MMC) 效能嵌入式管理單元。 不過,如果系統監視器設定為使用 Windows Management Instrumentation (WMI) 收集數據,則您確實需要此用戶權力。 限制配置檔單一進程用戶權力可防止入侵者取得可用來在系統上掛接攻擊的其他資訊。 此設定的建議狀態為: Administrators 。索引鍵路徑:[許可權]SeProfileSingleProcessPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators :計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\配置檔單一程式 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42 |
= Administrators (原則) |
警告 |
設定檔系統效能 (CCE-36052-9) |
描述:此原則設定可讓使用者使用工具來檢視不同系統程式的效能,這可能會遭到濫用,讓攻擊者判斷系統的作用中進程,並提供計算機潛在攻擊面的深入解析。 此設定的建議狀態為: Administrators, NT SERVICE\WdiServiceHost 。索引鍵路徑:[Privilege Rights]SeSystemProfilePrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators, NT SERVICE\WdiServiceHost :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\配置文件系統效能 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.2.43 CIS WS2022 2.2.43 |
<= Administrators,NT SERVICE\WdiServiceHost (原則) |
警告 |
取代程序層級權杖 (CCE-37430-6) |
描述:此原則設定可讓一個進程或服務使用不同的安全性存取令牌啟動另一個服務或進程,這可用來修改該子進程的安全性存取令牌,並導致許可權提升。 此設定的建議狀態為: LOCAL SERVICE, NETWORK SERVICE 。 注意:具有 Web 伺服器角色服務之 Web 伺服器角色的成員伺服器將需要此建議的特殊例外狀況,以允許授與此使用者權力的 IIS 應用程式集區。 附註 #2: 安裝Microsoft SQL Server 的成員伺服器將需要此建議的特殊例外狀況,才能將額外的 SQL 產生的專案授與此用戶權力。索引鍵路徑:[許可權]SeAssignPrimaryTokenPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 LOCAL SERVICE, NETWORK SERVICE :計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\取代進程層級令牌 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.2.44 CIS WS2022 2.2.44 |
<= LOCAL SERVICE、NETWORK SERVICE (原則) |
警告 |
還原檔案和目錄 (CCE-37613-7) |
描述:此原則設定可決定在環境中執行 Windows Vista 的計算機上還原備份的檔案和目錄時,哪些使用者可以略過檔案、目錄、登錄和其他持續性物件許可權。 此用戶權力也會決定哪些使用者可以將有效的安全性主體設定為對象擁有者;它類似於備份檔與目錄用戶權力。 此設定的建議狀態為: Administrators 。密鑰路徑:[許可權許可權]SeRestorePrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators :計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\還原檔案和目錄 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.2.45 |
<= 系統管理員、備份操作員 (原則) |
警告 |
關閉系統 (CCE-38328-1) |
描述:此原則設定可決定哪些使用者在本機登入您環境中的計算機,可以使用 [關機] 命令來關閉操作系統。 誤用此用戶權力可能會導致拒絕服務狀況。 此設定的建議狀態為: Administrators 。密鑰路徑:[許可權]SeShutdownPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators :計算機設定\原則\Windows 設定\安全性設定\本機原則\使用者權力指派\關閉系統 合規性標準對應: 名稱平台識別碼 CIS WS2019 2.2.46 CIS WS2022 2.2.46 |
<= 系統管理員、備份操作員 (原則) |
警告 |
取得檔案或其他物件的所有權 (CCE-38325-7) |
描述:此原則設定可讓使用者取得檔案、資料夾、登錄機碼、進程或線程的擁有權。 此用戶權力會略過任何已就地保護對象的許可權,以授與指定使用者的擁有權。 此設定的建議狀態為: Administrators 。索引鍵路徑:[許可權]SeTakeOwnershipPrivilege OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Administrators :計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\取得檔案或其他物件的擁有權 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48 |
= Administrators (原則) |
重大 |
驗證使用者權力之後模擬用戶端,只能指派給系統管理員、服務、本地服務和網路服務。 (AZ-WIN-73785) |
描述:原則設定可讓代表使用者執行的程式模擬該使用者(或另一個指定的帳戶),以便代表使用者採取行動。 如果這類模擬需要此用戶權力,未經授權的使用者將無法說服用戶端連線,例如,透過遠端過程調用 (RPC) 或命名管道連線到他們建立來模擬該客戶端的服務,這可能會將未經授權的用戶許可權提升到系統管理或系統層級。 服務控制管理員啟動的服務預設會新增至其存取令牌的內建服務群組。 COM 基礎結構啟動並設定為在特定帳戶下執行的 COM 伺服器,也會將服務群組新增至其存取令牌。 因此,這些進程會在啟動時獲指派此用戶權力。 此外,如果存在下列任一條件,使用者就可以模擬存取令牌: - 模擬存取令牌適用於此使用者。 - 在此登入會話中,用戶以明確的認證登入網路,以建立存取令牌。 - 要求的層級小於模擬,例如匿名或識別。 在驗證使用者權力之後,具有模擬客戶端的攻擊者可以建立服務、欺騙用戶端使其連線至服務,然後模擬該用戶端,以提升攻擊者對用戶端的存取層級。 此設定的建議狀態為: Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE 。 注意: 此用戶權力會被視為稽核的「敏感性許可權」。 附註 #2:安裝Microsoft SQL Server 及其選擇性「Integration Services」元件的成員伺服器,需要這項建議的特殊例外狀況,才能將其他 SQL 產生的專案授與此用戶權力。機碼路徑:[許可權許可權]SeImpersonatePrivilege OS:WS2016、WS2019 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\在驗證后模擬用戶端 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.2.31 CIS WS2019 2.2.31 |
<= Administrators,Service,Local Service,Network Service (原則) |
重要 |
Windows 元件
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
允許基本身份驗證 (CCE-36254-1) |
描述:此原則設定可讓您管理 Windows 遠端管理 (WinRM) 服務是否接受來自遠端用戶端的基本身份驗證。 此設定的建議狀態為: Disabled 。密鑰路徑:SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\Windows 元件\Windows 遠端管理 (WinRM)\WinRM 服務\允許基本身份驗證 注意: 此組策略路徑是由所有 Microsoft windows 系統管理範本版本隨附的組策略範本 WindowsRemoteManagement.admx/adml 所提供。合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1 |
不存在或 = 0 (登錄) |
重大 |
允許診斷數據 (AZ-WIN-00169) |
描述:此原則設定會決定回報給Microsoft的診斷和使用方式數據量。 值為 0 會將最小數據傳送至Microsoft。 此數據報含惡意軟體移除工具 (MSRT) 和 Windows Defender 數據,如果已啟用,則為遙測客戶端設定。 設定值為 0 僅適用於企業、EDU、IoT 和伺服器裝置。 設定其他裝置的值為 0 相當於選擇 1 的值。 值為 1 只會傳送基本數量的診斷和使用方式數據。 請注意,設定 0 或 1 的值會降低裝置上的特定體驗。 值為 2 會傳送增強的診斷和使用方式數據。 值 3 會傳送與值 2 相同的數據,再加上額外的診斷數據,包括可能造成問題的檔案和內容。 Windows 10 遙測設定適用於 Windows 作業系統和某些第一方應用程式。 此設定不適用於在 Windows 10 上執行的第三方應用程式。 此設定的建議狀態為: Enabled: 0 - Security [Enterprise Only] 。 注意: 如果 [允許遙測] 設定為 “0 - 僅限企業版]”,則 Windows Update 中延遲升級和更新的選項將不會有任何作用。索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled: Diagnostic data off (not recommended) 或 Enabled: Send required diagnostic data :計算機設定\原則\系統管理範本\Windows 元件\數據收集和預覽組建\允許診斷數據 注意: 此組策略路徑預設可能不存在。 組策略範本 'DataCollection.admx/adml' 隨附於 windows 11 版本 21H2 系統管理範本 (或更新版本) Microsoft。 注意 #2: 在舊版Microsoft Windows 系統管理範本中,此設定一開始名為 [允許遙測],但從 Windows 11 版本 21H2 系統管理範本開始,它已重新命名為 允許診斷數據 。 合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1 |
>= 1 (登錄) |
警告 |
允許加密檔案的索引編製 (CCE-38277-0) |
描述:此原則設定可控制是否允許索引加密的專案。 變更此設定時,會完全重建索引。 完整磁碟區加密(例如 BitLocker 磁碟驅動器加密或非Microsoft解決方案)必須用於索引的位置,以維護加密檔案的安全性。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\Windows 元件\搜尋\允許對加密檔案編製索引 注意: 此組策略路徑是由所有 Microsoft windows 系統管理範本版本隨附的組策略範本 Search.admx/adml 所提供。合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3 |
不存在或 = 0 (登錄) |
警告 |
允許Microsoft帳戶為選擇性 (CCE-38354-7) |
描述:此原則設定可讓您控制是否需要帳戶登入的 Windows 市集應用程式,Microsoft帳戶是否為選擇性帳戶。 此原則只會影響支援它的 Windows 市集應用程式。 如果您啟用此原則設定,通常需要Microsoft帳戶登入的 Windows 市集應用程式,將可讓使用者改為使用企業帳戶登入。 如果停用或未設定此原則設定,用戶必須使用Microsoft帳戶登入。 機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional OS:WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\應用程式運行時間\允許Microsoft帳戶為選擇性 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 'AppXRuntime.admx/adml' 提供,隨附於 Microsoft Windows 8.1 和 Server 2012 R2 系統管理範本(或更新版本)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.6.1 |
= 1 (登錄) |
警告 |
允許未加密的流量 (CCE-38223-4) |
描述:此原則設定可讓您管理 Windows 遠端管理 (WinRM) 服務是否透過網路傳送和接收未加密的訊息。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\Windows 元件\Windows 遠端管理 (WinRM)\WinRM 服務\允許未加密的流量 注意: 此組策略路徑是由所有 Microsoft windows 系統管理範本版本隨附的組策略範本 WindowsRemoteManagement.admx/adml 所提供。合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CIS WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3 |
不存在或 = 0 (登錄) |
重大 |
允許使用者控制安裝 (CCE-36400-0) |
描述:允許使用者變更通常僅適用於系統管理員的安裝選項。 Windows Installer 的安全性功能可防止使用者變更通常保留給系統管理員的安裝選項,例如指定要安裝檔案的目錄。 如果 Windows Installer 偵測到安裝套件已允許使用者變更受保護的選項,則會停止安裝並顯示訊息。 只有在安裝程式是在特殊許可權安全性內容中執行時,這些安全性功能才會運作,而該內容可存取拒絕使用者的目錄。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\Windows 元件\Windows Installer\允許使用者控制安裝 注意: 此組策略路徑是由所有 Microsoft windows 系統管理範本版本隨附的組策略範本 MSI.admx/adml 所提供。 注意 #2: 在舊版Microsoft Windows 系統管理範本中,此設定名為 [啟用使用者對安裝的控制],但從 Windows 8.0 和 Server 2012 (非 R2) 系統管理範本開始重新命名。合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1 |
不存在或 = 0 (登錄) |
重大 |
一律使用提高的許可權進行安裝 (CCE-37490-0) |
描述:此設定可控制 Windows Installer 是否應該在系統上安裝任何程式時使用系統許可權。 注意: 此設定會出現在 [計算機設定] 和 [使用者設定] 資料夾中。 若要讓此設定生效,您必須在這兩個資料夾中啟用設定。 注意: 如果啟用,熟練的使用者可以利用此設定授與的許可權來變更其許可權,並取得限制檔案和資料夾的永久存取權。 請注意,此設定的用戶設定版本不保證是安全的。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :用戶設定\原則\系統管理範本\Windows 元件\Windows Installer\Always install with elevated privileges 注意: 此組策略路徑是由所有 Microsoft windows 系統管理範本版本隨附的組策略範本 MSI.admx/adml 所提供。合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2 |
不存在或 = 0 (登錄) |
警告 |
一律在連線時提示輸入密碼 (CCE-37929-7) |
描述:此原則設定會指定終端機服務是否一律在連線時提示用戶端計算機輸入密碼。 您可以使用此原則設定,為登入終端機服務的使用者強制執行密碼提示,即使他們已在遠端桌面連線用戶端中提供密碼也一樣。 根據預設,終端機服務可讓用戶在遠端桌面連線用戶端中輸入密碼時自動登入。 注意 如果您未設定此原則設定,本機計算機管理員可以使用終端機服務組態工具來允許或防止自動傳送密碼。 機碼路徑:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面會話主機\安全性\一律在連線時提示輸入密碼 注意: 此組策略路徑是由組策略範本 'TerminalServer.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 注意 #2:在Microsoft Windows Vista 系統管理範本中,此設定在連線時名為 [永遠提示用戶端輸入密碼],但從 Windows Server 2008 (非 R2) 系統管理範本開始重新命名。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.65.3.9.1 |
= 1 (登錄) |
重大 |
應用程式:控制記錄檔達到大小上限時的事件記錄檔行為 (CCE-37775-4) |
描述:此原則設定可控制記錄檔達到其大小上限時的事件記錄檔行為。 如果啟用此原則設定,而且記錄檔的大小達到上限,則不會將新事件寫入記錄檔,而且遺失。 如果停用或未設定此原則設定,而且記錄檔達到其大小上限,新事件會覆寫舊的事件。 注意:舊事件可能或可能不會根據「完整時自動備份記錄」原則設定來保留。 索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\Windows 元件\事件記錄檔服務\Application\Control 事件記錄檔達到其大小上限時,事件記錄檔的行為 注意: 此組策略路徑是由組策略範本 'EventLog.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 附註 #2: 在較舊的Microsoft Windows 系統管理範本中,此設定最初命名 為保留舊事件,但從 Windows 8.0 和 Server 2012 (非 R2) 系統管理範本開始重新命名。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.27.1.1 |
不存在或 = 0 (登錄) |
重大 |
應用程式:指定記錄檔大小上限 (KB) (CCE-37948-7) |
描述:此原則設定會以 KB 為單位指定記錄檔的大小上限。 如果啟用此原則設定,您可以將記錄檔大小上限設定為介於 1 MB(1024 KB)和 2 TB(2147483647 KB)之間,以 KB 為單位遞增。 如果停用或未設定此原則設定,記錄檔的大小上限會設定為本機設定的值。 本機系統管理員可以使用 [記錄屬性] 對話框來變更此值,預設為 20 MB。 索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled: 32,768 or greater :計算機設定\原則\系統管理範本\Windows 元件\事件記錄服務\應用程式\指定記錄檔大小上限 (KB) 注意: 此組策略路徑是由組策略範本 'EventLog.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 附註 #2: 在舊版Microsoft Windows 系統管理範本中,此設定最初命名為 記錄大小上限 (KB),但從 Windows 8.0 和 Server 2012 (非 R2) 系統管理範本開始重新命名。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.27.1.2 |
>= 32768 (登錄) |
重大 |
封鎖所有取用者Microsoft帳戶用戶驗證 (AZ-WIN-20198) |
描述:此設定可決定裝置上的應用程式和服務是否可以透過 Windows OnlineID 和 WebAccountManager API 使用新的取用者Microsoft帳戶驗證。 此設定的建議狀態為: Enabled 。密鑰路徑:SOFTWARE\Policies\MicrosoftAccount\DisableUserAuth OS:WS2016、WS2019 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\Microsoft帳戶\封鎖所有取用者Microsoft帳戶用戶驗證 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1 |
= 1 (登錄) |
重大 |
設定本機設定覆寫以報告至 MICROSOFT MAPS (AZ-WIN-00173) |
描述:此原則設定會設定組態的本機覆寫,以聯結Microsoft MAPS。 此設定只能由組策略設定。 如果啟用此設定,本機喜好設定會優先於組策略。 如果停用或未設定此設定組策略,則會優先於本機喜好設定。 密鑰路徑:SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\Windows 元件\Windows Defender 防病毒軟體\MAPS\設定本機設定覆寫以報告至 MICROSOFT MAPS 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 WindowsDefender.admx/adml 所提供,其中包含Microsoft Windows 8.1 和 Server 2012 R2 系統管理範本(或更新版本)。合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1 |
不存在或 = 0 (登錄) |
警告 |
設定 Windows SmartScreen (CCE-35859-8) |
描述:此原則設定可讓您管理 Windows SmartScreen 的行為。 Windows SmartScreen 可藉由警告使用者,在執行從因特網下載的無法辨識的程式之前,協助讓計算機更安全。 某些資訊會傳送至Microsoft啟用此功能的計算機上執行的檔案和程式。 如果啟用此原則設定,則可以設定下列其中一個選項來控制 Windows SmartScreen 行為:* 在執行下載的未知軟體之前提供警告 * 關閉 SmartScreen 如果您停用或未設定此原則設定,則計算機上的系統管理員會使用 [安全性與維護] 中的 Windows SmartScreen 設定來管理 Windows SmartScreen 行為。 選項:* 在執行下載的未知軟體之前提供使用者警告 * 關閉 SmartScreen 機碼路徑:SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :警告和防止略過:計算機設定\原則\系統管理範本\Windows 元件\Windows Defender SmartScreen\Explorer\設定 Windows Defender SmartScreen 附注:此組策略路徑預設可能不存在。 組策略範本 WindowsExplorer.admx/adml 隨附於 Microsoft Windows 8.0 和 Server 2012 (非 R2) 系統管理範本(或更新版本)。 注意 #2:在較舊的Microsoft Windows 系統管理範本中,此設定一開始名為設定 Windows SmartScreen,但從 Windows 10 版本 1703 系統管理範本開始重新命名。合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.85.1.1 |
= 1 (登錄) |
警告 |
從預設 RDP 連接埠偵測變更 (AZ-WIN-00156) |
描述:此設定會決定接聽遠端桌面連線的網路埠是否已從預設 3389 變更 機碼路徑:System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:不適用 合規性標準對應: |
= 3389 (登錄) |
重大 |
停用 Windows 搜尋服務 (AZ-WIN-00176) |
描述:此登錄設定會停用 Windows 搜尋服務 索引鍵路徑:System\CurrentControlSet\Services\Wsearch\Start OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:不適用 合規性標準對應: |
不存在或 = 4 (登錄) |
重大 |
不允許非磁碟區裝置的自動播放 (CCE-37636-8) |
描述:此原則設定不允許相機或手機等 MTP 裝置的自動播放。 如果您啟用此原則設定,則相機或手機等 MTP 裝置不允許自動播放。 如果停用或未設定此原則設定,則會為非磁碟區裝置啟用自動播放。 機碼路徑:SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume OS:WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\自動播放原則\不允許非磁碟區裝置的自動播放 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 'AutoPlay.admx/adml' 提供,隨附於 Microsoft Windows 8.0 & Server 2012 (非 R2) 系統管理範本 (或更新版本)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.8.1 |
= 1 (登錄) |
重大 |
不允許摘要式驗證 (CCE-38318-2) |
描述:此原則設定可讓您管理 Windows 遠端管理 (WinRM) 用戶端是否不會使用摘要式驗證。 此設定的建議狀態為: Enabled 。密鑰路徑:SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\Windows 遠端管理 (WinRM)\WinRM 用戶端\不允許摘要式驗證 注意: 此組策略路徑是由所有 Microsoft windows 系統管理範本版本隨附的組策略範本 WindowsRemoteManagement.admx/adml 所提供。合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3 |
= 0 (登錄) |
重大 |
不允許 WinRM 儲存 RunAs 認證 (CCE-36000-8) |
描述:此原則設定可讓您管理 Windows 遠端管理 (WinRM) 服務是否不允許儲存任何外掛程式的 RunAs 認證。如果啟用此原則設定,WinRM 服務將不會允許針對任何外掛程式設定 RunAsUser 或 RunAsPassword 組態值。如果外掛程式已經設定 RunAsUser 和 RunAsPassword 組態值,將會清除此電腦上的認證存放區中的 RunAsPassword 組態值。 如果停用或未設定此原則設定,WinRM 服務會允許為外掛程式設定 RunAsUser 和 RunAsPassword 組態值,並將 RunAsPassword 值安全地儲存。 如果您啟用然後停用此原則設定,則必須先重設先前針對 RunAsPassword 設定的任何值。 密鑰路徑:SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\Windows 遠端管理 (WinRM)\WinRM 服務\不允許 WinRM 儲存 RunAs 認證 注意: 此組策略路徑預設可能不存在。 組策略範本 'WindowsRemoteManagement.admx/adml' 隨附於 Microsoft windows 8.0 和 Server 2012 (非 R2) 系統管理範本(或更新版本)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.102.2.4 |
= 1 (登錄) |
重大 |
不允許儲存密碼 (CCE-36223-6) |
描述:此原則設定有助於防止終端機服務用戶端將密碼儲存在計算機上。 注意 如果此原則設定先前設定為 [已停用] 或 [未設定],則第一次終端機服務用戶端與任何伺服器中斷連線時,將會刪除任何先前儲存的密碼。 機碼路徑:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面連線用戶端\不允許儲存密碼 注意: 此組策略路徑是由組策略範本 'TerminalServer.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.65.2.2 |
= 1 (登錄) |
重大 |
不要在結束時刪除暫存資料夾 (CCE-37946-1) |
描述:此原則設定會指定遠端桌面服務是否會在註銷時保留使用者的個別會話暫存資料夾。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面會話主機\暫存資料夾\不要在結束時刪除暫存資料夾 注意: 此組策略路徑是由組策略範本 'TerminalServer.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 附註 #2: 在舊版Microsoft Windows 系統管理範本中,此設定名為 [不要在結束時刪除暫存資料夾],但從 Windows 8.0 和 Server 2012 (非 R2) 系統管理範本開始重新命名。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.65.3.11.1 |
不存在或 = 1 (登錄) |
警告 |
不要顯示密碼顯示按鈕 (CCE-37534-5) |
描述:此原則設定可讓您在密碼輸入用戶體驗中設定密碼顯示按鈕的顯示。 此設定的建議狀態為: Enabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal OS:WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\認證使用者介面\不要顯示密碼顯示按鈕 注意: 此組策略路徑預設可能不存在。 組策略範本 'CredUI.admx/adml' 隨附於 Microsoft Windows 8.0 和 Server 2012 (非 R2) 系統管理範本(或更新版本)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.16.1 |
= 1 (登錄) |
警告 |
不顯示意見反應通知 (AZ-WIN-00140) |
描述:此原則設定可讓組織防止其裝置顯示來自Microsoft的意見反應問題。 如果啟用此原則設定,使用者將無法再透過 Windows 意見反應應用程式看到意見反應通知。 如果停用或未設定此原則設定,使用者可能會透過 Windows 意見反應應用程式看到通知,要求使用者提供意見反應。 注意:如果您停用或未設定此原則設定,使用者可以控制他們收到意見反應問題的頻率。 機碼路徑:SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\數據收集和預覽組建\不要顯示意見反應通知 注意: 此組策略路徑預設可能不存在。 組策略範本 'FeedbackNotifications.admx/adml' 隨附於 windows 10 版本 1511 系統管理範本(或更新版本)Microsoft。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.17.4 |
= 1 (登錄) |
重大 |
不要每個會話使用暫存資料夾 (CCE-38180-6) |
描述:根據預設,遠端桌面服務會在 RD 工作階段主機伺服器上針對使用者在 RD 工作階段主機伺服器上維護的每個使用中工作階段建立個別的暫存資料夾。 暫存資料夾是在使用者配置檔資料夾下 Temp 資料夾中的 RD 工作階段主機伺服器上建立,並以 「sessionid」 命名。此暫存資料夾是用來儲存個別暫存盤。 若要回收磁碟空間,當使用者從會話註銷時,會刪除暫存資料夾。 此設定的建議狀態為: Disabled 。密鑰路徑:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面會話主機\暫存資料夾\不要使用每個會話的暫存資料夾 注意: 此組策略路徑是由組策略範本 'TerminalServer.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.65.3.11.2 |
不存在或 = 1 (登錄) |
重大 |
列舉提高許可權上的系統管理員帳戶 (CCE-36512-2) |
描述:此原則設定可控制當用戶嘗試提高執行中應用程式的許可權時,是否顯示系統管理員帳戶。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\Windows 元件\認證使用者介面\列舉提高許可權上的系統管理員帳戶 注意: 此組策略路徑是由所有 Microsoft windows 系統管理範本版本隨附的組策略範本 CredUI.admx/adml 所提供。合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2 |
不存在或 = 0 (登錄) |
警告 |
防止下載機箱 (CCE-37126-0) |
描述:此原則設定可防止使用者從摘要下載機箱(檔案附件)下載到用戶的計算機。 此設定的建議狀態為: Enabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\RSS 摘要\防止下載機箱 注意: 此組策略路徑是由組策略範本 'InetRes.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 附註 #2: 在舊版Microsoft Windows 系統管理範本中,此設定名為 關閉下載機箱,但從 Windows 8.0 和 Server 2012 (非 R2) 系統管理範本開始重新命名。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.66.1 |
= 1 (登錄) |
警告 |
需要安全的 RPC 通訊 (CCE-37567-5) |
描述:指定遠端桌面會話主機伺服器是否需要與所有用戶端的安全 RPC 通訊,或允許不安全的通訊。 您可以藉由只允許已驗證和加密的要求,使用此設定來加強與用戶端的 RPC 通訊安全性。 如果狀態設定為 [已啟用],遠端桌面服務會接受支援安全要求的 RPC 用戶端要求,而且不允許與不受信任的用戶端進行不安全的通訊。 如果狀態設定為 [已停用],遠端桌面服務一律會要求所有 RPC 流量的安全性。 不過,不會回應要求的 RPC 用戶端允許不安全的通訊。 如果狀態設定為 [未設定],則會允許不安全的通訊。 注意:RPC 介面用於管理和設定遠端桌面服務。 密鑰路徑:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面會話主機\安全性\需要安全的 RPC 通訊 注意: 此組策略路徑是由組策略範本 'TerminalServer.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.65.3.9.2 |
= 1 (登錄) |
重大 |
使用網路層級驗證要求遠端連線的用戶驗證 (AZ-WIN-00149) |
描述:使用網路層級驗證要求遠端連線的用戶驗證 機碼路徑:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面會話主機\安全性\需要使用網路層級驗證進行遠端連線的用戶驗證 注意: 此組策略路徑是由組策略範本 'TerminalServer.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 附註 #2: 在Microsoft Windows Vista 系統管理範本中,此設定最初命名 為使用 RDP 6.0 進行遠端連線的用戶驗證,但從 Windows Server 2008 (非 R2) 系統管理範本開始重新命名。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.65.3.9.4 |
不存在或 = 1 (登錄) |
重大 |
掃描卸除式磁碟機 (AZ-WIN-00177) |
描述:此原則設定可讓您管理在執行完整掃描時,是否要在卸載式磁碟驅動器的內容中掃描惡意軟體和垃圾軟體,例如 USB 快閃磁碟驅動器。 如果啟用此設定,則會在任何類型的掃描期間掃描卸載式磁碟驅動器。 如果您停用或未設定此設定卸載式磁碟驅動器,將不會在完整掃描期間掃描。 在快速掃描和自定義掃描期間,仍可移動磁碟驅動器掃描。 機碼路徑:SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\Windows Defender 防病毒軟體\掃描\掃描卸載式磁碟驅動器 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 WindowsDefender.admx/adml 所提供,其中包含Microsoft Windows 8.1 和 Server 2012 R2 系統管理範本(或更新版本)。合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1 |
= 0 (登錄) |
重大 |
安全性:控制記錄檔達到其大小上限時的事件記錄行為 (CCE-37145-0) |
描述:此原則設定可控制記錄檔達到其大小上限時的事件記錄檔行為。 如果啟用此原則設定,而且記錄檔的大小達到上限,則不會將新事件寫入記錄檔,而且遺失。 如果停用或未設定此原則設定,而且記錄檔達到其大小上限,新事件會覆寫舊的事件。 注意:舊事件可能或可能不會根據「完整時自動備份記錄」原則設定來保留。 索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :當記錄檔達到其大小上限時,計算機設定\原則\系統管理範本\Windows 元件\事件記錄服務\安全性\控制事件記錄檔行為 注意: 此組策略路徑是由組策略範本 'EventLog.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 附註 #2: 在較舊的Microsoft Windows 系統管理範本中,此設定最初命名 為保留舊事件,但從 Windows 8.0 和 Server 2012 (非 R2) 系統管理範本開始重新命名。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.27.2.1 |
不存在或 = 0 (登錄) |
重大 |
安全性:指定記錄檔大小上限 (KB) (CCE-37695-4) |
描述:此原則設定會以 KB 為單位指定記錄檔的大小上限。 如果啟用此原則設定,您可以將記錄檔大小上限設定為介於 1 MB(1024 KB)和 2 TB(2,147,483,647 KB)之間,以 KB 增量為單位。 如果停用或未設定此原則設定,記錄檔的大小上限會設定為本機設定的值。 本機系統管理員可以使用 [記錄屬性] 對話框來變更此值,預設為 20 MB。 索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled: 196,608 or greater :計算機設定\原則\系統管理範本\Windows 元件\事件記錄服務\安全性\指定記錄檔大小上限 (KB) 注意: 此組策略路徑是由組策略範本 'EventLog.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 附註 #2: 在舊版Microsoft Windows 系統管理範本中,此設定最初命名為 記錄大小上限 (KB),但從 Windows 8.0 和 Server 2012 (非 R2) 系統管理範本開始重新命名。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.27.2.2 |
>= 196608 (登錄) |
重大 |
需要進一步分析時發送檔案樣本 (AZ-WIN-00126) |
描述:此原則設定會在設定選擇加入MAPS遙測時,設定範例提交的行為。 可能的選項包括:(0x0) 永遠提示 (0x1) 自動傳送安全樣本 (0x2) 永不傳送 (0x3) 自動傳送所有樣本 密鑰路徑:SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:需要進一步分析時,計算機設定\系統管理範本\Windows 元件\Microsoft Defender 防毒軟體\MAPS\傳送檔案範例 合規性標準對應: |
= 1 (登錄) |
警告 |
設定用戶端連線加密層級 (CCE-36627-8) |
描述:此原則設定會指定即將裝載遠端連線的計算機,是否會針對遠端會話與用戶端計算機之間傳送的所有數據強制執行加密層級。 密鑰路徑:SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled: High Level :計算機設定\原則\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面會話主機\安全性\設定用戶端連線加密層級 注意: 此組策略路徑是由組策略範本 'TerminalServer.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.65.3.9.5 |
不存在或 = 3 (登錄) |
重大 |
設定 AutoRun 的預設行為 (CCE-38217-6) |
描述:此原則設定會設定自動執行命令的預設行為。 自動執行命令通常會儲存在 autorun.inf 檔案中。 它們通常會啟動安裝程式或其他例程。 在 Windows Vista 之前,插入包含自動執行命令的媒體時,系統會自動執行程式,而不需要使用者介入。 這會建立主要的安全性考慮,因為程式代碼可能會在使用者不知情的情況下執行。 從 Windows Vista 開始的預設行為是提示使用者是否要執行自動執行命令。 自動執行命令會在 [自動執行] 對話框中以處理程式表示。 如果啟用此原則設定,系統管理員可以將自動執行的預設 Windows Vista 或更新版本行為變更為:a) 完全停用自動執行命令,或 b) 還原回自動執行命令的 Windows Vista 前行為。 如果停用或未設定此原則設定,Windows Vista 或更新版本將會提示使用者是否要執行自動執行命令。 機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled: Do not execute any autorun commands :計算機設定\原則\系統管理範本\Windows 元件\自動播放原則\設定自動執行的默認行為 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 'AutoPlay.admx/adml' 提供,隨附於 Microsoft Windows 8.0 & Server 2012 (非 R2) 系統管理範本 (或更新版本)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.8.2 |
= 1 (登錄) |
重大 |
安裝程式:控制記錄檔達到其大小上限時的事件記錄檔行為 (CCE-38276-2) |
描述:此原則設定可控制記錄檔達到其大小上限時的事件記錄檔行為。 如果啟用此原則設定,而且記錄檔的大小達到上限,則不會將新事件寫入記錄檔,而且遺失。 如果停用或未設定此原則設定,而且記錄檔達到其大小上限,新事件會覆寫舊的事件。 注意:舊事件可能或可能不會根據「完整時自動備份記錄」原則設定來保留。 索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\Windows 元件\事件記錄服務\安裝程式\控制記錄檔達到其大小上限時的事件記錄檔行為 注意: 此組策略路徑是由組策略範本 'EventLog.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 附註 #2: 在較舊的Microsoft Windows 系統管理範本中,此設定最初命名 為保留舊事件,但從 Windows 8.0 和 Server 2012 (非 R2) 系統管理範本開始重新命名。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.27.3.1 |
不存在或 = 0 (登錄) |
重大 |
安裝程式:指定記錄檔大小上限 (KB) (CCE-37526-1) |
描述:此原則設定會以 KB 為單位指定記錄檔的大小上限。 如果啟用此原則設定,您可以將記錄檔大小上限設定為介於 1 MB(1024 KB)和 2 TB(2,147,483,647 KB)之間,以 KB 增量為單位。 如果停用或未設定此原則設定,記錄檔的大小上限會設定為本機設定的值。 本機系統管理員可以使用 [記錄屬性] 對話框來變更此值,預設為 20 MB。 索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled: 32,768 or greater :計算機設定\原則\系統管理範本\Windows 元件\事件記錄服務\安裝程式\指定記錄檔大小上限 (KB) 注意: 此組策略路徑是由組策略範本 'EventLog.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 附註 #2: 在舊版Microsoft Windows 系統管理範本中,此設定最初命名為 記錄大小上限 (KB),但從 Windows 8.0 和 Server 2012 (非 R2) 系統管理範本開始重新命名。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.27.3.2 |
>= 32768 (登錄) |
重大 |
在系統起始重新啟動之後自動登入最後一個互動式使用者 (CCE-36977-7) |
描述:此原則設定可控制裝置是否會在 Windows Update 重新啟動系統之後自動登入最後一個互動式使用者。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn OS:WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled: 計算機設定\原則\系統管理範本\Windows 元件\Windows 登入選項\登入系統起始重新啟動后自動登入最後一個互動式使用者 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 WinLogon.admx/adml 所提供,其中包含Microsoft Windows 8.1 和 Server 2012 R2 系統管理範本(或更新版本)。合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1 |
= 1 (登錄) |
重大 |
指定檢查定義更新的間隔 (AZ-WIN-00152) |
描述:此原則設定可讓您指定要檢查定義更新的間隔。 時間值會表示為更新檢查之間的時數。 有效值的範圍從 1(每小時)到 24(每天一次)。 如果啟用此設定,檢查定義更新將會在指定的間隔進行。 如果停用或未設定此設定,檢查定義更新將會以預設間隔進行。 機碼路徑:SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval OS:WS2008、WS2008R2、WS2012、WS2012R2 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\系統管理範本\Windows 元件\Microsoft Defender 防毒軟體\安全性智慧更新\指定檢查安全性情報更新的間隔 合規性標準對應: |
=8 (登錄) |
重大 |
系統:控制記錄檔達到其大小上限時的事件記錄檔行為 (CCE-36160-0) |
描述:此原則設定可控制記錄檔達到其大小上限時的事件記錄檔行為。 如果啟用此原則設定,而且記錄檔的大小達到上限,則不會將新事件寫入記錄檔,而且遺失。 如果停用或未設定此原則設定,而且記錄檔達到其大小上限,新事件會覆寫舊的事件。 注意:舊事件可能或可能不會根據「完整時自動備份記錄」原則設定來保留。 索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :當記錄檔達到其大小上限時,計算機設定\原則\系統管理範本\Windows 元件\事件記錄服務\系統\控制事件記錄檔行為 注意: 此組策略路徑是由組策略範本 'EventLog.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 附註 #2: 在較舊的Microsoft Windows 系統管理範本中,此設定最初命名 為保留舊事件,但從 Windows 8.0 和 Server 2012 (非 R2) 系統管理範本開始重新命名。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.27.4.1 |
不存在或 = 0 (登錄) |
重大 |
系統:指定記錄檔大小上限 (KB) (CCE-36092-5) |
描述:此原則設定會以 KB 為單位指定記錄檔的大小上限。 如果啟用此原則設定,您可以將記錄檔大小上限設定為介於 1 MB(1024 KB)和 2 TB(2,147,483,647 KB)之間,以 KB 增量為單位。 如果停用或未設定此原則設定,記錄檔的大小上限會設定為本機設定的值。 本機系統管理員可以使用 [記錄屬性] 對話框來變更此值,預設為 20 MB。 索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled: 32,768 or greater :計算機設定\原則\系統管理範本\Windows 元件\事件記錄服務\系統\指定記錄檔大小上限 (KB) 注意: 此組策略路徑是由組策略範本 'EventLog.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 附註 #2: 在舊版Microsoft Windows 系統管理範本中,此設定最初命名為 記錄大小上限 (KB),但從 Windows 8.0 和 Server 2012 (非 R2) 系統管理範本開始重新命名。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.27.4.2 |
>= 32768 (登錄) |
重大 |
應用程式相容性計劃清查必須防止收集數據,並將資訊傳送至Microsoft。 (AZ-WIN-73543) |
描述:某些功能可能會與廠商通訊、傳送系統資訊或下載功能的數據或元件。 關閉此功能可防止潛在的敏感性資訊傳送到企業外部,並防止系統不受控制的更新。 此設定可防止程式清查收集系統的相關數據,並將資訊傳送至Microsoft。 機碼路徑:SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory OS:WS2016、WS2019、WS2022 伺服器類型:網域成員 組策略路徑:計算機設定\系統管理範本\Windows 元件\應用程式相容性\關閉清查收集器 合規性標準對應: |
= 1 (登錄) |
資訊 |
關閉自動播放 (CCE-36875-3) |
描述:自動播放會在您將媒體插入磁碟驅動器時立即從磁碟驅動器讀取,這會導致程式或音訊媒體的安裝程式檔案立即啟動。 攻擊者可以使用這項功能來啟動程式,以損害電腦上的電腦或數據。 您可以開啟 [關閉自動播放] 設定來停用自動播放功能。 某些卸載式磁碟驅動器類型預設會停用自動播放,例如磁碟片和網路磁碟驅動器,但不會在CD-ROM磁碟驅動器上停用。 注意 您無法使用此原則設定在預設停用的電腦磁碟驅動器上啟用自動播放,例如磁碟片和網路驅動器機。 機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled: All drives :計算機設定\原則\系統管理範本\Windows 元件\自動播放原則\關閉自動播放 注意: 此組策略路徑是由組策略範本 'AutoPlay.admx/adml' 提供,其中包含所有版本的 Microsoft Windows 系統管理範本。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.8.3 |
= 255 (登錄) |
重大 |
關閉檔案總管的數據執行防止 (CCE-37809-1) |
描述:停用數據執行防護可讓某些舊版外掛程式應用程式在不終止 Explorer 的情況下運作。 此設定的建議狀態為: Disabled 。 注意: 某些舊版外掛程式應用程式和其他軟體可能無法與數據執行預防搭配運作,而且需要針對該特定外掛程式/軟體定義例外狀況。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention OS:WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\Windows 元件\檔案總管\關閉檔案總管的數據執行防護 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 Explorer.admx/adml 提供,隨附於 Microsoft Windows 7 和 Server 2008 R2 系統管理範本(或更新版本)。合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2 |
不存在或 = 0 (登錄) |
重大 |
關閉損毀的堆積終止 (CCE-36660-9) |
描述:若未在損毀時終止堆積,當 檔案總管 會話損毀時,舊版外掛程式應用程式可能會繼續運作。 確保損毀時堆積終止會防止這種情況發生。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\Windows 元件\檔案總管\關閉損毀時終止堆積 注意: 此組策略路徑是由所有 Microsoft windows 系統管理範本版本隨附的組策略範本 Explorer.admx/adml 所提供。合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3 |
不存在或 = 0 (登錄) |
重大 |
關閉 Microsoft 消費者體驗 (AZ-WIN-00144) |
描述:此原則設定會關閉可協助取用者充分利用其裝置和Microsoft帳戶的體驗。 如果啟用此原則設定,使用者將不會再看到 Microsoft 提供的個人化建議,和其 Microsoft 帳戶的相關通知。 如果您停用或未設定此原則設定,使用者可能會看到Microsoft和通知有關其Microsoft帳戶的建議。 注意:此設定僅適用於企業和教育 SKU。 索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\雲端內容\關閉Microsoft取用者體驗 注意: 此組策略路徑預設可能不存在。 組策略範本 'CloudContent.admx/adml' 隨附於 Microsoft Windows 10 版本 1511 系統管理範本(或更新版本)。 合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.14.2 |
不存在或 = 1 (登錄) |
警告 |
關閉殼層通訊協議保護模式 (CCE-36809-2) |
描述:此原則設定可讓您設定殼層通訊協定可以擁有的功能量。 使用此通訊協定應用程式的完整功能時,可以開啟資料夾並啟動檔案。 受保護的模式可減少此通訊協定的功能,讓應用程式只開啟一組有限的資料夾。 當應用程式處於受保護模式時,就無法開啟具有此通訊協議的檔案。 建議將此通訊協定保留為受保護的模式,以提高 Windows 的安全性。 此設定的建議狀態為: Disabled 。機碼路徑:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior OS:WS2008、WS2008R2、WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Disabled :計算機設定\原則\系統管理範本\Windows 元件\檔案總管\關閉殼層通訊協定保護模式 注意: 此組策略路徑是由所有 Microsoft windows 系統管理範本版本隨附的組策略範本 WindowsExplorer.admx/adml 所提供。合規性標準對應: 名稱平台識別碼 STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4 |
不存在或 = 0 (登錄) |
警告 |
開啟行為監視 (AZ-WIN-00178) |
描述:此原則設定可讓您設定行為監視。 如果啟用或未設定此設定行為監視,將會啟用。 如果停用此設定行為監視將會停用。 密鑰路徑:SOFTWARE\Policies\Microsoft\Windows Defender\實時保護\DisableBehaviorMonitoring OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:若要透過 GP 建立建議的設定,請將下列 UI 路徑設定為 Enabled :計算機設定\原則\系統管理範本\Windows 元件\Windows Defender 防病毒軟體\實時保護\開啟行為監視 注意: 此組策略路徑預設可能不存在。 它是由組策略範本 WindowsDefender.admx/adml 所提供,其中包含Microsoft Windows 8.1 和 Server 2012 R2 系統管理範本(或更新版本)。合規性標準對應: 名稱平台識別碼 CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3 |
不存在或 = 0 (登錄) |
警告 |
開啟 PowerShell 腳本區塊記錄 (AZ-WIN-73591) |
描述:此原則設定可記錄事件記錄檔通道的所有 PowerShell 腳本輸入 Applications and Services Logs\Microsoft\Windows\PowerShell\Operational 。 此設定的建議狀態為: Enabled 。 注意: 如果 已啟用腳本區塊調用啟動/停止事件 記錄(選項方塊],PowerShell 會在叫用命令、腳本區塊、函式或腳本啟動或停止時記錄其他事件。 啟用此選項會產生大量的事件記錄檔。 CIS 已刻意選擇不要針對此選項提出建議,因為它會產生大量的事件。 如果組織選擇啟用選擇性設定(已核取),這也會符合基準檢驗。索引鍵路徑:SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging OS:WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員、工作組成員 組策略路徑:計算機設定\原則\系統管理範本\Windows 元件\Windows PowerShell\開啟 PowerShell 腳本區塊記錄 合規性標準對應: 名稱平台識別碼 CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1 |
= 1 (登錄) |
重要 |
Windows 設定 - 安全性設定
名稱 (識別元) |
詳細資料 | 預期值 (類型) |
嚴重性 |
---|---|---|---|
調整處理序的記憶體配額 (CCE-10849-8) |
描述:此原則設定可讓使用者調整進程可用的記憶體數量上限。 調整記憶體配額的能力對於系統調整很有用,但可能會遭到濫用。 在錯誤的手中,它可以用來啟動阻斷服務(DoS)攻擊。 此設定的建議狀態為: Administrators, LOCAL SERVICE, NETWORK SERVICE 。 注意:具有 Web 伺服器角色服務之 Web 伺服器角色的成員伺服器將需要此建議的特殊例外狀況,以允許授與此使用者權力的 IIS 應用程式集區。 附註 #2: 安裝Microsoft SQL Server 的成員伺服器將需要此建議的特殊例外狀況,才能將額外的 SQL 產生的專案授與此用戶權力。密鑰路徑:[許可權許可權]SeIncreaseQuotaPrivilege OS:WS2012、WS2012R2、WS2016、WS2019、WS2022 伺服器類型:域控制器、網域成員 組策略路徑:計算機設定\原則\Windows 設定\安全性設定\本機原則\用戶權力指派\調整進程的記憶體配額 合規性標準對應: 名稱平台識別碼 CIS WS2022 2.2.6 CIS WS2019 2.2.6 |
<= Administrators、Local Service、Network Service (原則) |
警告 |
注意
特定 Azure 原則 客體組態設定的可用性可能會因 Azure Government 和其他國家雲端而異。
下一步
關於 Azure 原則和來賓設定的其他文章:
- Azure 原則 來賓設定。
- 法規合規性概觀。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。